« XSS в Google Search Appliance
Добірка експлоітів »

День Свободи та уразливості на maidan.org.ua

22:23 22.11.2006

Спочатку, враховуючи сьогодняшню дату, вітаю вас з Днем Свободи! 22.11.2006 - це друга річниця початку Помаранчевої Революції. Мої вітання всім українцям.

Ну, а тепер щодо уразливостей ;-)

Сьогодні вночі, як раз коли ще новий день тільки починався, завітав я на деякі політичні сайти. І зокрема на http://maidan.org.ua - де і знайшов чимало уразливостей. Зокрема Cross-Site Scripting, SQL DB Structure Extraction та Full path disclosure уразливості. Про що найближчим часом сповіщу адміністрацію проекту.

Детальна інформація про уразливості з’явиться пізніше.

Політичним сайтам варто слідкувати за власною безпекою, як я вже зазначав у випадку безпеки сайту Верховної Ради України. І ще планую не раз згадати про політичні й урядові сайти.

Детальна інформація.

XSS:

SQL DB Structure Extraction:

http://maidan.org.ua/news/search.php3?site=maidan&bn=maidan_news&gosearch=1&sf=1&pattern=xxxxxxxxxx

XSS:

Full path disclosure:

http://maidan.org.ua/static/lysty.php?key=-1102352364

XSS:

Виправлена лише частина уразливостей, а останні 5 уразливостей досі не виправлені.


This entry was posted on 22:23 22.11.2006 and is filed under Новини сайту, Уразливості. You can follow any responses to this entry through the RSS 2.0 feed.

2 відповідей на “День Свободи та уразливості на maidan.org.ua”

  1. Адміністрація сайту каже:
    Субота, 21:38 25.11.2006

    А хто напише КОЛИ саме все було закрито?

    Бо до нас досі ломляться толпи ідіотів первіряти наявність цих вже давно закритих дірок.

  2. MustLive каже:
    Неділя, 02:01 26.11.2006

    Адміністрація сайту, ви про що? Від вас я жодної інформації не отримав. Ви мені на емайл не відповіли, лише цей месадж в коментарях. Де ви говорите що вже все закрито, причому в минулому часі, і мовляв ніяких уразливостей не було і мені все здалося.

    Звідки тоді я знайшов всі вказані уразливості, про які я вам повідомив, якщо ви кажете що вони вже давно закриті. Може це вам так здалося, що вони вже були закриті (і вас невірно проінформували), але я вас запевняю - все про що я вам написав і неодноразово перевірив, і писав лише про існуючі й актуальні уразливості. Тому ви розберіться. І повідомте мені, що ви вже все виправили (як я щойно глянув, вже все пофіксено, але я знайшов 5 нових дірок). Бажано всім мені повідоляти (але нажаль чимало адмінів не ставить мене до відому про виправлення уразливостей).

    А з приводу тих, хто ломиться до вас на сайт переверяти неначебто вже давно закриті дірки - то це ви про кого, уточніть. Тому що в мене на сайті бажано бути ввічливим, і нікого безпідставно не ображати (взагалі бажано нікого не ображати).

Leave a Reply

You must be logged in to post a comment.