Нові уразливості на maidan.org.ua
15:19 03.03.201126.08.2010
У березні, 15.03.2010, я знайшов Cross-Site Scripting та Local File Inclusion уразливості на сайті http://maidan.org.ua. Про що найближчим часом сповіщу адміністрацію сайта.
Раніше я вже писав про уразливості на maidan.org.ua.
Детальна інформація про уразливості з’явиться пізніше.
03.03.2011
XSS:
http://maidan.org.ua/news/search.php3?bn=%3Cbody%20onload=alert(document.cookie)%3E
Local File Inclusion:
http://maidan.org.ua/news/search.php3?bn=1
http://maidan.org.ua/news/search.php3?bn=..\1
Дані уразливості вже виправлені.
Вівторок, 14:56 31.08.2010
Красно дякуємо за Вашу увагу до безпеки “Майдану! Зазначену Вами у листі “дірку” закрили.
Додали вашу “кнопку” до “Дружніх сайтів”.
Успіхів Вам!
З повагою,
АдмінҐрупа сайту “Майдан”.
Вівторок, 23:53 31.08.2010
babai
Завжди будь ласка.
До речі, два дні тому я писав про нові уразливості в W-Agora, що також мають місце на вашому сайті (де я їх і знайшов). Про ці дірки я вже повідомив розробникам і щойно також написав окремого листа вам. Писати про ці дірки в себе на сайті я не буду (в цьому немає потреби), лише про дірки в самому движку W-Agora. Але вам їх також варто виправити.