Уразливості на viland.ua
19:14 27.03.201001.10.2009
У лютому, 06.02.2009, я знайшов Full path disclosure, Cross-Site Scripting та Redirector уразливості на сайті http://viland.ua (інтернет магазин). Про що найближчим часом сповіщу адміністрацію сайта.
Стосовно дірок на сайтах онлайн магазинів в останнє я писав про уразливості на matrix.ua.
Детальна інформація про уразливості з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.
27.03.2010
Full path disclosure:
http://viland.ua/index.php?id=49&sword=’
http://viland.ua/nc/search-result/start/1.html?tx_ttproducts_pi1%5Bsword%5D='
http://viland.ua/typo3/sysext/cms/tslib/class.tslib_fe.php
http://viland.ua/typo3conf/ext/tt_products/view/class.tx_ttproducts_list_view.php
http://viland.ua/index.php?jumpurl=%0A1
XSS:
Дані XSS були виправлені, але неякісно і, при невеличкій зміні коду, вони знову працюють.
XSS (Mozilla):
Redirector:
http://viland.ua/index.php?jumpurl=http://websecurity.com.ua
Дані уразливості вже виправлені. Окрім Redirector уразливості та неякісно виправленних XSS.
Неділя, 23:11 28.03.2010
Класно. А от найшов XSS в google
http://hackzona.com.ua/modules.php?name=News&file=article&sid=164
Неділя, 23:18 28.03.2010
О, бачу ти вже писав про це, соррі
Понеділок, 20:04 29.03.2010
Dementor
Це не XSS на сайті Гугла, а XSS на сайті google.ftpsearch.com.ua. Про уразливості на якому я вже писав. На даному сайті його адміни зробили пошук в Гуглі через UA-IX. Подібний до того, який раніше був на justua.info (який також був уразливий).
Так про цю дірку я вже писав. Як і про багато інших дірок, в тому числі на багатьох пошукових системах.
Ти не перший, хто мої уразливості “знову знаходить”
. При “знаходженні” раніше мною знайдених уразливостей, не забувай вказувати джерело (лінку на запис в мене на сайті про дану уразливість). Не кажучи вже про правило тієї теми на форумі - “Викладати XSS, знайдені тільки вами”.