Уразливості на www.vor.ru
21:48 13.04.200726.01.2007
У жовтні, 28.10.2006, я знайшов декілька уразливостей на поулярному проекті http://www.vor.ru (Радіо Голос Росії). Це Cross-site Scripting, Full path disclosure, Directory Traversal і PHP Include узазливості. Про що найближчим часом сповіщу адміністрацію проекту.
Детальна інформація про уразливості з’явиться пізніше.
13.04.2007
XSS:
Дана уразливість вже виправлена, але я так підозрюю, що випадково (під час технічних робіт над сайтом). Бо інші уразливості так і не були виправлені.
XSS:
Full path disclosure:
http://www.vor.ru/index_req/lib/print.php?view=news3-&id=281
Directory Traversal і PHP Include:
http://www.vor.ru/index_req/lib/print.php?view=../..&id=281
Дані уразливості досі не виправлені.