Websecurity - Веб безпека

Новий тест для вашого браузера. Даний експлоіт виконує DoS атаку на Microsoft Internet Explorer 6 (та можливо наступні версії IE).

В результаті роботи експлоіта браузер зависає (тобто DoS атака). По інформації від автора експлоіта, IE повинен вилітати, але, як я протестував на моєму Internet Explorer 6, браузер зависає. Атака відбувається при наведенні курсору на таблицю - це DoS при MouseOver, подібна до уразливості в Google Chrome.

Протестувати Internet Explorer 6

Останній тест для IE був DoS в Internet Explorer, з яким ви також можете ознайомитися.

В даній добірці експлоіти в веб додатках:

• AdaptCMS Lite 1.4 (XSS/RFI) Multiple Remote Vulnerabilities (деталі)
• Hedgedog-CMS <= 1.21 Remote Command Execution Exploit (деталі)
• WB News 2.1.1 config[installdir] Remote File Inclusion Vulnerability (деталі)
• webframe 0.76 Multiple File Inclusion Vulnerabilities (деталі)
• Thyme <= 1.3 (export_to) Local File Inclusion Vulnerability (деталі)
• Hedgehog-CMS 1.21 (LFI) Remote Command Execution Exploit (деталі)
• Gaeste 1.6 (gastbuch.php) Remote File Disclosure Vulnerability (деталі)
• q-news 2.0 Remote Command Execution Exploit (деталі)
• Papoo CMS 3.x (pfadhier) Local File Inclusion Vulnerability (деталі)
• ProFTPd with mod_mysql Authentication Bypass Vulnerability (деталі)
• Fluorine CMS 0.1 rc 1 FD / SQL Injection Command Execution Exploit (деталі)
• BlueBird Pre-Release (Auth Bypass) SQL Injection Vulnerability (деталі)
• Mynews 0_10 (Auth Bypass) SQL Injection Vulnerability (деталі)
• AuthPhp 1.0 (Auth Bypass) SQL Injection Vulnerability (деталі)
• Potato News 1.0.0 (user) Local File Inclusion Vulnerability (деталі)

Нещодавно була виявлена уразливість переповнення буфера в Mozilla Firefox. Для даної уразливості був розроблений експлоіт.

За словами автора експлоіта, вразливі Mozilla Firefox 2.0.0.16 та попередні версії.

• Mozilla Firefox 2.0.0.16 UTF-8 URL Remote Buffer Overflow Exploit (деталі)

В даній добірці експлоіти в веб додатках:

• ZeroBoard4 pl8 (07.12.17) Multiple Remote Vulnerabilities (деталі)
• Simple PHP News 1.0 Remote Command Execution Exploit (деталі)
• WikkiTikkiTavi 1.11 Remote PHP File Upload Vulnerability (деталі)
• 1024 CMS <= 1.4.4 Remote Command Execution with RFI (c99) Exploit (деталі)
• CafeEngine (index.php catid) Remote SQL Injection Vulnerability (деталі)
• phpYabs 0.1.2 (Azione) Remote File Inclusion Vulnerability (деталі)
• SilverNews 2.04 (Auth Bypass/LFI/RCE) Multiple Vulnerabilities (деталі)
• Traidnt UP Version 1.0 Remote File Upload Vulnerability (деталі)
• ZeroShell <= 1.0beta11 Remote Code Execution Vulnerability (деталі)
• 3Com OfficeConnect Wireless Cable/DSL Router Authentication Bypass (деталі)
• Squid < 3.1.5 HTTP Version Number Parsing Denial of Service Exploit (деталі)
• Yet Another NOCC <= 0.1.0 Local File Inclusion Vulnerability (деталі)
• ZeroBoardXE 1.1.5 (09.01.22) XSS Vulnerability (деталі)
• FlexCMS (catId) Remote SQL Injection Vulnerability (деталі)
• SnippetMaster Webpage Editor 2,2,2 (RFI/XSS) Multiple Vulnerabilities (деталі)

Нещодавно Dan Kaminsky виявив уразливість в Mozilla Firefox, що дозволяє віддалене виконання коду. Для даної уразливості був розроблений експлоіт.

За словами автора експлоіта, вразливі Mozilla Firefox до 3.0.14. Як я перевірив, в Firefox 3.0.13 він працює, але не в Firefox 3.0.14, де дана уразливість вже виправлена.

• Mozilla Firefox < 3.0.14 Multiplatform RCE via pkcs11.addmodule (деталі)

В даній добірці експлоіти в веб додатках:

• Syntax Desktop 2.7 (synTarget) Local File Inclusion Vulnerability (деталі)
• Jaws 0.8.8 Multiple Local File Inclusion Vulnerabilities (деталі)
• Team 1.x (DD/XSS) Multiple Remote Vulnerabilities (деталі)
• Power System Of Article Management (DD/XSS) Vulnerabilities (деталі)
• Novell GroupWise <= 8.0 Malformed RCPT command Off-by-one Exploit (деталі)
• YapBB <= 1.2 (forumID) Blind SQL Injection Exploit (деталі)
• Amaya Web Browser 11 (bdo tag) Remote Stack Overflow Exploit (vista) (деталі)
• Amaya Web Browser 11 (bdo tag) Remote Stack Overflow Exploit (winxp) (деталі)
• GR Blog 1.1.4 (Upload/Bypass) Multiple Remote Vulnerabilities (деталі)
• Kipper 2.01 (XSS/LFI/DD) Multiple Vulnerabilities (деталі)
• ClearBudget 0.6.1 Insecure Cookie Handling / LFI Vulnerabilities (деталі)
• GR Note 0.94 beta (Auth Bypass) Remote Database Backup Vulnerability (деталі)
• ClearBudget 0.6.1 (Misspelled htaccess) Insecure DD Vulnerability (деталі)
• txtBB <= 1.0 RC3 HTML/JS Injection - Add Admin Privileges Exploit (деталі)
• Mailist 3.0 Insecure Backup/Local File Inclusion Vulnerabilities (деталі)

В даній добірці експлоіти в веб додатках:

• TxtBlog 1.0 Alpha Remote Command Execution Exploit (деталі)
• NaviCopa webserver 3.0.1 (BOF/SD) Multiple Remote Vulnerabilities (деталі)
• Technote 7.2 Remote File Inclusion Vulnerability (деталі)
• 4Site CMS <= 2.6 Multiple Remote SQL Injection Vulnerabilities (деталі)
• MyDesing Sayac 2.0 (Auth Bypass) SQL Injection Vulnerability (деталі)
• WEBalbum 2.4b (photo.php id) Blind SQL Injection Exploit (деталі)
• AJA Modules Rapidshare 1.0.0 Remote Shell Upload Vulnerability (деталі)
• Simple Machines Forums (BBCode) Cookie Stealing Vulnerability (деталі)
• Openfiler 2.3 (Auth Bypass) Remote Password Change Exploit (деталі)
• DMXReady online notebookmanager 1.1 Auth Bypass Vulnerability (деталі)
• Flatnux 2009-01-27 Remote File Inclusion Vulnerability (деталі)
• PHPbbBook 1.3 (bbcode.php l) Local File Inclusion Exploit (деталі)
• GRBoard 1.8 Multiple Remote File Inclusion Vulnerabilities (деталі)
• rgboard v4 5p1 (07.07.27) Multiple Remote Vulnerabilities (деталі)
• TNS Listener (Oracle RDBMS) exploit (деталі)

В даній добірці експлоіти в веб додатках:

• OpenHelpDesk 1.0.100 eval() Code Execution Exploit (meta) (деталі)
• phpslash <= 0.8.1.1 Remote Code Execution Exploit (деталі)
• eVision CMS 2.0 Remote Code Execution Exploit (деталі)
• sourdough 0.3.5 Remote File Inclusion Vulnerability (деталі)
• CMS Mini <= 0.2.2 Remote Command Execution Exploit (деталі)
• phpBLASTER 1.0 RC1 (blaster_user) Blind SQL Injection Exploit (деталі)
• Online Grades 3.2.4 (Auth Bypass) SQL Injection Vulnerability (деталі)
• Groone’s Guestbook 2.0 Remote File Inclusion Vulnerability (деталі)
• Groone GLinks 2.1 Remote File Inclusion Vulnerability (деталі)
• ClickCart 6.0 (Auth Bypass) Remote SQL Injection Vulnerability (деталі)
• WholeHogSoftware Password Protect Insecure Cookie Handling Vuln (деталі)
• WholeHogSoftware Ware Support Insecure Cookie Handling Vulnerability (деталі)
• CMS from Scratch <= 1.9.1 (fckeditor) Remote File Upload Exploit (деталі)
• DreamPics Photo/Video Gallery Blind SQL Injection Exploit (деталі)
• Yerba SACphp <= 6.3 / Local File Inclusion Exploit (деталі)

В даній добірці експлоіти в веб додатках:

• ManageEngine Firewall Analyzer 5 XSRF/XSS Vulnerability (деталі)
• GNUBoard 4.31.04 (09.01.30) Multiple Local/Remote Vulnerabilities (деталі)
• Amaya Web Editor 11 Remote SEH Overwrite Exploit (деталі)
• ReVou Twitter Clone (XSS/SQL) Multiple Remote Vulnerabilities (деталі)
• SkaLinks 1.5 (Auth Bypass) SQL Injection Vulnerability (деталі)
• Orca 2.0.2 (Topic) Remote XSS Vulnerability (деталі)
• BPAutoSales 1.0.1 (XSS/SQL) Multiple Remote Vulnerabilities (деталі)
• eVision CMS <= 2.0 (field) SQL Injection Vulnerability (деталі)
• SMA-DB 0.3.12 (RFI/XSS) Multiple Remote Vulnerabilities (деталі)
• WholeHogSoftware Password Protect (Auth Bypass) SQL Injection Vuln (деталі)
• WholeHogSoftware Ware Support (Auth Bypass) SQL Injection Vuln (деталі)
• AJA Portal 1.2 Local File Inclusion Vulnerabilities (win) (деталі)
• Flatnux 2009-01-27 (Job fields) XSS/Iframe Injection PoC (деталі)
• Small HTTP Server <= 3.05.85 Directory Traversal Exploit (деталі)
• Exploits FOSS Gallery Admin Version <= 1.0 / Remote Arbitrary Upload Vulnerability (деталі)

В даній добірці експлоіти в веб додатках:

• GLPI v 0.71.3 Multiple Remote SQL Injection VUlnerabilities (деталі)
• Coppermine Photo Gallery 1.4.19 Remote PHP File Upload Vulnerability (деталі)
• Star Articles 6.0 (admin.manage) Remote Contents Change Vulnerability (деталі)
• Amaya Web Editor <= 11.0 Remote Buffer Overflow PoC (деталі)
• Personal Site Manager <= 0.3 Remote Command Execution Exploit (деталі)
• WFTPD Explorer Pro 1.0 Remote Heap Overflow Exploit (деталі)
• PLE CMS 1.0 beta 4.2 (login.php school) Blind SQL Injection Exploit (деталі)
• NetArtMedia Car Portal 1.0 (Auth Bypass) SQL Injection Vulnerability (деталі)
• Motorola Wimax modem CPEi300 (FD/XSS) Multiple Vulnerabilities (деталі)
• SalesCart (Auth Bypass) SQL Injection Vulnerability (деталі)
• Pligg 9.9.5 XSRF Protection Bypass and Captcha Bypass (деталі)
• Zoom VoIP Phone Adapater ATA1+1 1.2.5 XSRF Exploit (деталі)
• D-Link VoIP Phone Adapter XSS/XSRF Remote Firmware Overwrite (деталі)
• Profense Web Application Firewall 2.6.2 XSRF/XSS Vulnerabilities (деталі)
• Website Directory - XSS Exploit (деталі)