AFU та IL уразливості в Uploadify
23:54 24.10.201320.09.2013
У вересні, 12.09.2013, я знайшов Arbitrary File Uploading та Information Leakage уразливості в Uploadify. Про що найближчим часом повідомлю розробникам веб додатку.
Раніше я вже писав про уразливості в Uploadify.
Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам.
24.10.2013
Arbitrary File Uploading (WASC-31):
Code Execution атака через AFU. Для виконання коду можна використати “;” в імені файла (1.asp;.jpg) на IIS або використати подвійні розширення (1.php.jpg) на Apache.
Information Leakage (WASC-13):
Перевірка наявності довільного файла на сервері.
Уразливі Uploadify v3.2.1 та попередні версії.