Коментарі для запису: Уразливості на mirkvartir.ua http://websecurity.com.ua/4861/ Thu, 23 Apr 2026 09:51:02 +0000 http://wordpress.org/?v=MustLive Edition від: MustLive http://websecurity.com.ua/4861/#comment-375535 Thu, 13 Oct 2011 18:00:41 +0000 http://websecurity.com.ua/4861/#comment-375535 Віктор, XSS в пошуці - це нова дірка (відмінна від попередніх XSS дірок в цьому движку, про які я писав раніше). Її не було раніше на mirkvartir.ua та інших сайтах цих "будівельників-дірок" рік тому, коли я виявив всі ці численні уразливості на їхніх сайтах на MC Content Manager. А стосовно поля імейл, то вірно, але на сторінці реєстрації є ще одна XSS в прихованому полі (у вищезгаданих експлоітах я вказав які саме поля вразливі на сторінках реєстрації та відновлення паролю). Завжди перевіряй всі поля включно з прихованими (hidden) ;-). <blockquote>/MySQL/class.MySQL.php:37.</blockquote> А це вже FPD. В них явно була СУБД перенавантажена, тому й вивело повідомлення про помилку. Разом з повним шляхом на сервері (що є уразливістю і такі повідомлення потрібно відключати). Віктор, XSS в пошуці - це нова дірка (відмінна від попередніх XSS дірок в цьому движку, про які я писав раніше). Її не було раніше на mirkvartir.ua та інших сайтах цих “будівельників-дірок” рік тому, коли я виявив всі ці численні уразливості на їхніх сайтах на MC Content Manager.

А стосовно поля імейл, то вірно, але на сторінці реєстрації є ще одна XSS в прихованому полі (у вищезгаданих експлоітах я вказав які саме поля вразливі на сторінках реєстрації та відновлення паролю). Завжди перевіряй всі поля включно з прихованими (hidden) ;-) .

/MySQL/class.MySQL.php:37.

А це вже FPD. В них явно була СУБД перенавантажена, тому й вивело повідомлення про помилку. Разом з повним шляхом на сервері (що є уразливістю і такі повідомлення потрібно відключати).

]]> від: Viktor http://websecurity.com.ua/4861/#comment-375486 Thu, 13 Oct 2011 06:36:56 +0000 http://websecurity.com.ua/4861/#comment-375486 На сторінці реєстраціі - імейл та пошук. Відновлення паролю - теж саме. Більше поглянути не встиг: щось сталось із MySQL, будь-яка сторінка зараз віддає: Can't connect to local MySQL server through socket '/tmp/mysql.sock' (2)Output has already been sent to the browser at /usr/local/www/apache22/data/mk/includes/modules/MySQL/class.MySQL.php:37. Please make sure the command $xajax->processRequest() is placed before this. На сторінці реєстраціі - імейл та пошук. Відновлення паролю - теж саме.
Більше поглянути не встиг: щось сталось із MySQL, будь-яка сторінка зараз віддає:
Can’t connect to local MySQL server through socket ‘/tmp/mysql.sock’ (2)Output has already been sent to the browser at /usr/local/www/apache22/data/mk/includes/modules/MySQL/class.MySQL.php:37. Please make sure the command $xajax->processRequest() is placed before this.

]]>