Уразливість на www.bezpeka-service.com.ua

23:54 05.08.2011

26.10.2010

У липні, 03.07.2010, я знайшов SQL Injection уразливість на http://www.bezpeka-service.com.ua - сайті секюріті компанії. Про що найближчим часом сповіщу адміністрацію сайта.

Детальна інформація про уразливість з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

05.08.2011

SQL Injection:

http://www.bezpeka-service.com.ua/index.php?content_id=-1%20or%20version()%3E4

Дана уразливість досі не виправлена. Як і всі інші уразливості, які є в движку, що використовуються на цьому сайті.


4 відповідей на “Уразливість на www.bezpeka-service.com.ua”

  1. Viktor каже:

    Як я помітив всі сайти з даною уразливістю написані FGS Studio. Очевидно використовується той самий движок. Офіційний сайт FGS Studio використовує Wordpress, мабуть хлопці самі бояться своїх творінь :)

  2. MustLive каже:

    Віктор. Не всі сайти, бо є дві версії CMS WebManager-Pro - від FGS_Studio та від WebManager Pro (і в обох них є ця уразливість - лише друга студія виправила цю та інші дірки в своїй CMS). І сайти зроблені кожною з цих студій мають свою версію движка.

    Так, іноді трапляються такі девелопери, що бояться власних творінь :-) . Але не у випадку цих розробників. Як я дивився минулого місяця і щойно подивився - офіційний сайт FGS Studio як і раніше використовує свій движок. Той самий дірявий движок про численні дірки в якому я повідомив розробників і оприлюднив в новинах. Тому вони екстримали :-D - вони дірок не бояться, навіть не виправляють їх. А на WP змінив свій движок один їх клієнт, як я писав нещодавно.

  3. Viktor каже:

    Я мав на увазі сайти:
    bag.net.ua
    shintorg.kiev.ua
    audit-insite.com.ua
    varta.net.ua

    і т.д.

    у яких у підвалі стоїть посилання на FGS Studio.
    Щодо Вордпресу я дійсно помилився, сайт FGS Studio використовує власний движок. Тим більш дивні хлопці-молодці :lol:

  4. MustLive каже:

    Так, Віктор, ці та інші сайти, в яких у підвалі стоїть посилання на FGS Studio, зроблені цією студією та мають цю уразливість. А також мають багато інших дірок, що є в цій CMS, про які я писав в новинах (і без сумніву мають ще багато інших).

    Такі вони хлопці-екстримали :-) - самі вони дірок не виправляють і використовують власний дірявий движок. Як і більшість їхніх клієнтів, але все ж таки після моїх повідомлень з часом деякі клієнти змінили движки. Зокрема власники scb-ua.com змінили на WP, а власники moral.gov.ua змінили один український дірявий движок на інший дірявий (також український), про дірки в якому я розповідав раніше (але він менш дірявий ніж движок FGS Studio).

Leave a Reply

You must be logged in to post a comment.