Websecurity - Веб безпека

23.10.2009

У лютому, 17.02.2009, я знайшов SQL Injection та Directory Traversal уразливості в системі Abton. Це українська CMS. Дірку виявив на http://uareferat.com, де використовується даний движок.

Раніше я вже писав про уразливості в Abton.

Детальна інформація про уразливість з’явиться пізніше. Спочатку повідомлю розробникам системи.

19.02.2010

SQL Injection:

http://site/files.php?refdll=-1+union+select+version()%23

Про дану SQL Injection мені повідомив Alex в коментарях під час обговорення попередніх дірок на uareferat.com. Також я виявив, що через цю уразливість можна проводити Directory Traversal атаки.

Directory Traversal (через SQL Injection):

http://site/files.php?refdll=-1+union+select+’../file.php’%23

Дані уразливості вже виправлені (в движку і на сайті uareferat.com).

This entry was posted on 19:17 19.02.2010 and is filed under Уразливості. You can follow any responses to this entry through the RSS 2.0 feed.