Уразливості на pearl-ua.com.ua
17:23 11.07.201129.07.2010
У липні, 01.07.2010, я знайшов SQL Injection та Redirector уразливості на проекті http://pearl-ua.com.ua. Про що найближчим часом сповіщу адміністрацію проекту.
Детальна інформація про уразливості з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.
11.07.2011
SQL Injection:
http://pearl-ua.com.ua/c.php?id=1%20and%20version()=5
Redirector:
http://pearl-ua.com.ua/c.php?id=1&url=http://websecurity.com.ua
Якщо перша уразливість вже виправлена, то друга до сих пір не виправлена.
Вівторок, 21:01 03.08.2010
вразливість в CMS непотрібно постити кожний сайт на цьому CMS
Неділя, 16:24 08.08.2010
525
По-перше, мені відніше про що постити
.
По-друге, цей запис про дірки на конректному сайті, як і інший запис. Як я вже тобі казав про дірки (ці та інші) в даній CMS я писав окремо. В мене окремі записи про дірки в веб додатках і на веб сайтах, і це окремі речі (і мета цих записів інша). Незалежно від того які скрипти використовуються на тому чи іншому сайті, дірки на ньому - це окрема річ і окремий запис (в якого своя задача).
Тому розробники конкретного веб додатку, як і взагалі всі веб розробники, а також користувачі цього веб додатку та всі кому цікаво - вони інформуються постом про дірки у конкретному веб додатку. А задача поста про дірки на сайті - проінформувати власників сайта, користувачів та відвідувачів цього сайта про дірки на ньому, а також всіх веб девелоперів (як розробників дірявого веб додатку на цьому сайті, так і всіх інших), що не треба робити таких дірок і завжди потрібно слідкувати за безпекою веб сайтів та веб додатків.
Понеділок, 17:02 09.08.2010
забий , просто дещо нелогічно постити кожен сайт на ці cms сам подумай, наприклад ти знайшов в джумлі інєкцію , і почав сюди кидати повідомлення : Я знайшов SQL Injection на %site_url% … І так 1500 раз бо на джумлі багато сатів ))
Понеділок, 19:36 09.08.2010
Я пояснив логіку в попередньому коментарі - пости про дірки в веб додатках - це одне, а пости про дірки в сайтах - це інше. Це дві різні категорії постів і я публікую інформацію обох категорій (причому більше пощу саме про дірки на сайтах). І задача в кожної категорії постів своя - див. вище.
Так я працюю з самого початку роботи проекту з липня 2006. Ці дві категорії постів взаємонезалежні - дірки про сайти я публікую незалежно від того, які веб додатки і движки там використовуються. Як я вже казав, в кожної категорії постів своя задача, а також своя аудиторія.
На Джумлі дуже багато сайтів, як в Уанеті, так в цілому в Інтернеті - і про одну і ту саму дірку на різних сайтах можно не те що тисячі, а мільйони постів робити.
Але я не пощу окремо по сотні чи більше сайтів з однією тією ж діркою - я це роблю в розумних масштабах
. І їх кількість - виключно на мій власний розсуд. При необхідності я роблю добірки з декількох сайтів з ідентичною діркою, або роблю статті про мільйони дірявих сайтів - як у випадку статтей XSS уразливості в 8 мільйонах флеш файлах та XSS уразливості в 34 мільйонах флеш файлах.
А про велику кількість сайтів на Джумлі я регулярно пощу в своїх добірках похаканих сайтів. З другої половини 2008 стабільно більшість похаканих сайтів йде на Джумлі (й вони можуть бути похаканими навіть через одну і ту саму дірку). І популярність й дірявість цього движка призводить до великої кількості взломаних сайтів на Джумлі. І так само як я не обмежую “по движку” в інших категоріях постів, так само я не обмежую і в цій - тому про всі похакані та інфіковані сайти в Уанеті (що на Джумлі, що на іншому движку) я буду писати в новинах.
Понеділок, 20:32 09.08.2010
Я зрозумів твою логіку ще з 1 поста ) тому продовжувати міні-сварку-діалог нема сенсу.
Понеділок, 23:42 23.08.2010
Це добре, що зрозумів
. В своій статті про Просунуте відповідальне оприлюднення уразливостей я детально розповів про передумови та цілі даного підхода, який я використовую в себе на сайті з початку його роботи в липні 2006 року.