Уразливості на ua-hack.com

15:03 24.12.2010

23.04.2010

У жовтні, 15.10.2009, я знайшов Information Leakage та Full path disclosure уразливості на секюріті проекті http://ua-hack.com. Про що найближчим часом сповіщу адміністрацію проекту.

Торік я вже писав про взлом сайта ua-hack.com.

Детальна інформація про уразливості з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

23.04.2010

Information Leakage i Full path disclosure:

http://ua-hack.com/wp-content/uploads/my-md5.txt

Витік інформації про всі файли на сайті та повні шляхи на сервері до них.

Full path disclosure:

http://ua-hack.com/wp-content/plugins/belavir.php

Дані уразливості вже виправлені.


6 відповідей на “Уразливості на ua-hack.com”

  1. my3uka каже:

    хм…..ти коли повідомляєш адміністрацію будь-якого проекту про їх вразливість, ти береш в них за це якусь компенсацію чи просто так. (ну мається на увазі в добрих намірах)?

  2. alex каже:

    Зачем хакеры вообще взламывают сайты?

  3. MustLive каже:

    my3uka

    Я не беру жодної компенсації з власників сайтів (ні в 2005 році, ні в 2010 році) - все повністю безкоштовно. Тому що це соцільний секюріті аудит, про який я вже розповідав неодноразово. Лише витрачаю власний час на знаходження уразливостей, повідомлення адмінів і веб девелоперів, та написання анонсів та детальних описів уразливостей.

    Все це робиться для підняття безпеки Інтернету. І 99% всієї моєї роботи в галузі веб безпеки на протязі 2005-2010 років є безкоштовною. Кому потрібен комерційний аудит безпеки, той може його замовити.

    Так що почитай статті в мене на сайті, а також мої інтервью, для більшого ознайомлення з особливостями моєї роботи.

  4. MustLive каже:

    Зачем хакеры вообще взламывают сайты?

    alex

    Ответ на этот вопрос точно такой же, как и на вопросы “Зачем спамеры (в том числе SEO спамеры, как ты) спамят на сайтах” и “Зачем веб разработчики и админы создают сайты”. Потому что так им захотелось.

    Как и в случае создателей сайтов и спамеров, у хакеров также бывают разные мотивы. У кого безкорысные (как у меня, когда я взламываю сайты лишь для того, чтобы уведомить админов, например, когда на мои письма об уязвимостях они не реагируют), а у кого корысные - чтобы заработать на своей криминальной деятельности.

    Так что пока будут создаваться сайты, до тех пор будут хакеры их взламывать :-) .

  5. 525 каже:

    Раніше цього року або минулого також йому писав про ці вразливості казав, що вони були через те що переставив двиг і обовязково закриє.

  6. MustLive каже:

    525

    Після того як я адміну ua-hack.com повідомив, він нарешті їх закрив :-)

    казав, що вони були через те що переставив двиг

    Це все відмазки. З однієї сторони дірки були в плагіні Belavir, що до “перестановки движка” немає відношення. А з іншої сторони, окрім вищезгаданих дірок на сайті були ще численні FPD (про які я адміну також повідомив), що були в інших плагінах, а також в самому WP - про дірки в WordPress та в Belavir для WP я неодноразово писав в окремих записах.

Leave a Reply

You must be logged in to post a comment.