У лютому, 16.02.2009, я знайшов Cross-Site Scripting уразливість на сайті http://uploadbox.com (файлообмінник). Про що найближчим часом сповіщу адміністрацію сайта.
XSS:
Для атаки періодично потрібно використовувати новий код капчі (в параметрі code).
В даній добірці уразливості в веб додатках:
20.07.2009
У листопаді, 16.11.2008, я знайшов Abuse of Functionality та Cross-Site Scripting уразливості на проекті http://passport.a.ua. Про що найближчим часом сповіщу адміністрацію проекту.
Раніше стосовно проектів A.UA я писав про уразливості на web20.a.ua та про уразливість на passport.a.ua.
Детальна інформація про уразливості з’явиться пізніше.
19.10.2009
Abuse of Functionality:
http://passport.a.ua/register/
Через функцію перевірки логіна можливе визначення логінів на сайті.
XSS:
POST запит на сторінці http://passport.a.ua/register/
"><script>alert(document.cookie)</script>В полях: Ваш логин, Ник, Ваш пароль, Еще раз, Альтернативный e-mail, Ответ на вопрос.
Дані уразливості досі не виправлені.
Наприкінці грудня 2008 року були оприлюднені Unauthorized upgrade та Cross-Site Scripting уразливості в WordPress. Уразливі всі версії WordPress 2.x, тому що дані уразливості не були виправлені.
У випадку, якщо WP на сайті не останньої версії, то використовуючи першу уразливість в WP, можна проводити неавторизований апгрейд движка, а використовуючи другу уразливість можна проводити XSS атаки (по кліку на лінку). Як я перевірив (в різних версіях WP), у випадку другої уразливості зовсім немає XSS, там можлива лише редирекція на довільний сайт (по кліку на лінку).
В даній добірці уразливості в веб додатках:
02.09.2009
У січні, 19.01.2009, я знайшов Insufficient Anti-automation та Abuse of Functionality уразливості в компоненті ALFcontact (com_alfcontact) для Joomla. Це форма відправки повідомлень власнику сайта. Дані уразливості я виявив на одному веб сайті. Про що найближчим часом повідомлю розробникам.
Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам веб додатка.
16.10.2009
Insufficient Anti-automation:
http://site/option,com_alfcontact/
На сторінці контактів немає захисту від автоматизованих запитів (капчі).
Abuse of Functionality:
http://site/option,com_alfcontact/
Опція “Send copy to own email address” на сторінці контактів дозволяє розсилати спам з сайта.
Уразливі різні версії ALFcontact. До першої дірки уразливі старі версії, до ALFcontact 1.8 в якій з’явилася капча (у випадку якщо вона активована), а до другої дірки вразливі всі версії.
Розробник ALFcontact для Joomla пообіцяв виправити дані та інші уразливості в даному компоненті.
В даній добірці уразливості в веб додатках:
У лютому, 16.02.2009, я знайшов Cross-Site Scripting уразливість на проекті http://moemesto.ru (це сервіс онлайн закладок). Про що найближчим часом сповіщу адміністрацію проекту.
XSS:
В даній добірці уразливості в веб додатках:
17.06.2009
У квітні, 10.04.2008, я знайшов Insufficient Anti-automation, Cross-Site Scripting та SQL Injection уразливості, а 13.06.2009 ще Information Leakage уразливість на http://www.applicure.com - сайті секюріті компанії Applicure, виробника WAF DotDefender. Про що найближчим часом сповіщу адміністрацію сайта.
Детальна інформація про уразливості з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.
12.10.2009
Insufficient Anti-automation:
http://www.applicure.com/?page=monitorRegister
У формі був відсутній захист від автоматизованих запитів (капча).
XSS:
http://www.applicure.com/unMail.php?e=%3Cscript%3Ealert(document.cookie)%3C/script%3E
SQL Injection:
http://www.applicure.com/unMail.php?e=’%20or%201=’1
Information Leakage:
http://www.applicure.com/CHANGELOG.txt
Попередні уразливості були виправлені шляхом заміни движка на Drupal. А остання уразливість так досі й не була виправлена.
* 
You are currently browsing the archives for the Уразливості category.
Copyright © 2006-2025 MustLive. Усі права захищені.
Партнер проекту Websecurity.com.ua - веб проект mlfun.org.ua.