Уразливості на viland.ua

19:14 27.03.2010

01.10.2009

У лютому, 06.02.2009, я знайшов Full path disclosure, Cross-Site Scripting та Redirector уразливості на сайті http://viland.ua (інтернет магазин). Про що найближчим часом сповіщу адміністрацію сайта.

Стосовно дірок на сайтах онлайн магазинів в останнє я писав про уразливості на matrix.ua.

Детальна інформація про уразливості з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

27.03.2010

Full path disclosure:

http://viland.ua/index.php?id=49&sword=’

http://viland.ua/nc/search-result/start/1.html?tx_ttproducts_pi1%5Bsword%5D='

http://viland.ua/typo3/sysext/cms/tslib/class.tslib_fe.php

http://viland.ua/typo3conf/ext/tt_products/view/class.tx_ttproducts_list_view.php

http://viland.ua/index.php?jumpurl=%0A1

XSS:

Дані XSS були виправлені, але неякісно і, при невеличкій зміні коду, вони знову працюють.

XSS (Mozilla):

Redirector:

http://viland.ua/index.php?jumpurl=http://websecurity.com.ua

Дані уразливості вже виправлені. Окрім Redirector уразливості та неякісно виправленних XSS.


3 відповідей на “Уразливості на viland.ua”

  1. Dementor каже:

    Класно. А от найшов XSS в google
    http://hackzona.com.ua/modules.php?name=News&file=article&sid=164

  2. Dementor каже:

    О, бачу ти вже писав про це, соррі

  3. MustLive каже:

    Dementor

    Це не XSS на сайті Гугла, а XSS на сайті google.ftpsearch.com.ua. Про уразливості на якому я вже писав. На даному сайті його адміни зробили пошук в Гуглі через UA-IX. Подібний до того, який раніше був на justua.info (який також був уразливий).

    О, бачу ти вже писав про це, соррі

    Так про цю дірку я вже писав. Як і про багато інших дірок, в тому числі на багатьох пошукових системах.

    Ти не перший, хто мої уразливості “знову знаходить” :-) . При “знаходженні” раніше мною знайдених уразливостей, не забувай вказувати джерело (лінку на запис в мене на сайті про дану уразливість). Не кажучи вже про правило тієї теми на форумі - “Викладати XSS, знайдені тільки вами”.

Leave a Reply

You must be logged in to post a comment.