Уразливості на referat.com.ua
15:04 10.05.201022.10.2009
У лютому, 16.02.2009, я знайшов SQL Injection, Full path disclosure та SQL DB Structure Extaction уразливості на сайті http://referat.com.ua. Про що найближчим часом сповіщу адміністрацію сайта.
Детальна інформація про уразливості з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.
10.05.2010
SQL Injection:
http://referat.com.ua/referat_show.php?id=’%20or%20version()%3E4/*
Full path disclosure:
http://referat.com.ua/referat_show.php?id=’
SQL DB Structure Extaction:
http://referat.com.ua/referat_show.php?id=’
Дані уразливості досі не виправлені.
Субота, 17:58 24.10.2009
Так а скуль есть? а то что-то я не нашел…инфа есть, а самой скули нет…или не нашел.
Зато активные XSS есть, что ломануть админа не составляет даже труда…безопасность сайта реально на ужасном уровне
Субота, 21:01 24.10.2009
РУДИМЕНТ
На этом сайте дыр хватает, в том числе и SQLi есть. Мне известны как минимум две SQLi и вполне возможно есть ещё (при беглом взгляде на сайт я нашёл 4 уязвимости, но исходя из текущего уровня безопасности сайта можно предположить, что их там немало). Так что поищи получше и ты найдёшь
.
Этот сайт на движке Abton, в котором я уже находил дыры ранее. И после моего уведомления разработчиков о дырах в их движке и на их сайте uareferat.com (оба этих сайта сделаны разработчиками Abton), и после того как я взломал uareferat.com для наглядной демонстрации
, они по прежнему забивают на безопасность своего движка и своих сайтов.