Websecurity - Веб безпека

18.07.2012

У липні, 02.07.2012, я дослідив SQL Injection та Cross-Site Scripting уразливості на сайті http://www.asv.gov.ua. Про які мені повідомив AmplenuS, а коли я ці дві дірки перевірив, то знайшов іще одну. Про що найближчим часом сповіщу адміністрацію сайта.

Детальна інформація про уразливості з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

02.11.2012

SQL Injection:

http://www.asv.gov.ua/content.php?lang=uk&page=gallery&theme=-1%20or%20version()%3E5

У липні в них була версія MySQL 5.1.63-log, зараз MySQL 5.1.66-log. СУБД оновити не забули, але дірки на сайті як не виправляли, так і не виправляють.

XSS:

• alert(document.cookie)
• alert(document.cookie)
• цікавий
• html включення

Дані уразливості досі не виправлені.

This entry was posted on 23:50 02.11.2012 and is filed under Уразливості. You can follow any responses to this entry through the RSS 2.0 feed.