Уразливості на mycityua.com

15:28 31.08.2010

29.12.2009

У травні, 05.05.2009, я знайшов Cross-Site Scripting, SQL DB Structure Extraction та SQL Injection уразливості на проекті http://mycityua.com (онлайн ЗМІ). Про що найближчим часом сповіщу адміністрацію проекту.

Раніше я вже писав про уразливості на www.pk.kiev.ua (це попередній домен даного сайта).

Детальна інформація про уразливості з’явиться пізніше.

31.08.2010

XSS:

POST запит на сторінці http://mycityua.com/search/
"><script>alert(document.cookie)</script>В полях: Текст для поиска, Автор.

SQL DB Structure Extraction:

POST запит ‘” на сторінці http://mycityua.com/search/ в полі “Текст для поиска”.

SQL Injection:

POST запит на сторінці http://mycityua.com/search/ в параметрі categories.

Дані уразливості досі не виправлені.


Leave a Reply

You must be logged in to post a comment.