Websecurity - Веб безпека

12.06.2013

У квітні, 14.04.2013, я знайшов Arbitrary File Uploading, Arbitrary File Deletion та Cross-Site Scripting уразливості в Uploadify. Про що найближчим часом повідомлю розробникам веб додатку.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам.

12.09.2013

Arbitrary File Uploading (WASC-31):

Uploadify AFU.html

Code Execution атака через AFU.

Arbitrary File Deletion (WASC-42):

Uploadify AFD.html

Cross-Site Scripting (WASC-08):

Uploadify XSS.html

Uploadify XSS-2.html

Друга атака проводиться через XSS код в розширенні файла. Вона може бути проведена на Linux/Unix системах, де кутові дужки можна використовувати в іменах файлів, або через підробку заголовків.

Вразливі Uploadify v2.1.4 та потенційно інші версії. Зокрема версія в aCMS. Версії Uploadify 3.x не вразливі.

This entry was posted on 23:54 12.09.2013 and is filed under Уразливості. You can follow any responses to this entry through the RSS 2.0 feed.