Уразливості на www.raagz.com
15:25 04.09.201014.01.2010
У травні, 17.05.2009, я знайшов SQL Injection, Full path disclosure та Information Leakage уразливості на сайті http://www.raagz.com. Про що найближчим часом сповіщу адміністрацію сайта.
Детальна інформація про уразливості з’явиться пізніше.
Зазначу, що в той же день я лагідно покахав даний сайт, щоб безпосередньо на сайті повідомити адміна про дірки на його проекті. Але він проігнорував мої повідомлення. І як результат з травня по сьогодняшній день його сайт був взломаний багатьма хакерами. Так що не варто ігнорувати мої повідомлення про дірки на ваших сайтах.
04.09.2010
SQL Injection:
http://www.raagz.com/yabook/index.php?action=jump&id=-1%20union%20select%20version()
Full path disclosure:
http://www.raagz.com/yabook/config.inc.php
Information Leakage:
http://www.raagz.com/yabook/index.php
В meta-тегах виводиться інформація про версію PHP, MySQL і веб сервера.
Дані уразливості не були виправлені адміном. І як я сьогодні виявив, він закрив свій сайт і зараз даний домен використовується PPC-шниками для заробляння на кліках.
Діячі які заробляють на PPC зокрема полюбляють купувати відомі домени (сайтів, що закрилися, або коли час користування доменом вийшов, а адмін не встиг вчасно проплатити домен на наступний часовий період, і вони швиденько його купують). Щоб заробляти на кліках відвідувачів даних сайтів.
