24.01.2008
У червні, 25.06.2007, я знайшов Cross-Site Scripting уразливість на проекті http://poisk.dn.ua (пошукова система та каталог). Про що найближчим часом сповіщу адміністрацію проекту.
Детальна інформація про уразливість з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.
14.05.2008
XSS:
Дана уразливість вже виправлена.
В даній добірці уразливості в веб додатках:
20.01.2008
У червні, 19.06.2007, як раз під час проведення проекту MOSEB, я знайшов Cross-Site Scripting уразливість на пошуковій системі http://globalspec.com (The Engineering Search Engine). Про що найближчим часом сповіщу адміністрацію сайта.
Детальна інформація про уразливість з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.
12.05.2008
XSS:
Дана уразливість вже виправлена.
В даній добірці уразливості в веб додатках:
19.01.2008
У червні, 19.06.2007, я знайшов Cross-Site Scripting, SQL DB Structure Extraction та SQL Injection уразливості на http://globus.rbc.ru (Global Base of Universal Statistics) - проекті компанії РБК. Про що найближчим часом сповіщу адміністрацію проекту.
Раніше я вже писав про уразливості на сайтах РБК.
Детальна інформація про уразливості з’явиться пізніше.
09.05.2008
XSS:
SQL DB Structure Extraction:
http://globus.rbc.ru/rbc/quote_search.html?query=’
SQL Injection:
http://globus.rbc.ru/rbc/quote_search.html?query=1′/**/or/**/1=1)/*
Дані уразливості вже виправлені. Варто лише не забувати дякувати людям, що піклуються про вашу безпеку, як це звичайно трапляється у РБК.
В даній добірці уразливості в веб додатках:
Ще у січні, 31.01.2007, я знайшов численні Cross-Site Scripting уразливості на http://www.spidynamics.com - сайті секюріті компанії SPI Dynamics. Що є розробником сканера безпеки WebInspect.
Це були UXSS уразливості, котрих всього на сайті за даними Гугла було до 78 - тобто на сайті було 78 pdf файлів не захищених від XSS в PDF. Що доволі несерйозно для секюріті компанії.
XSS:
UXSS через HackingFeeds.pdf
Після того, як в минулому році HP придбала SPI Dynamics, сайт www.spidynamics.com більше не працює і зараз редиректить на https://h10078.www1.hp.com. Підхід до безпеки після купівлі SPI Dynamics, у Hewlett-Packard залишився той самий - на UXSS вони зовсім не звертають уваги (хоча звичайних XSS вони намагаються не допускати, в тому числі і за рахунок використання WAF).
XSS:
UXSS через BillyHoffman-Ajax(in)security.pdf
Лише у HP на h71028.www7.hp.com даних уразливостей більше 
(бо більше pdfок) - за даними Гугла на сайті налічується до 4600 UXSS уразливостей (в 4600 pdf файлах).
18.01.2008
У червні, 19.06.2007 (а також додатково сьогодні), я знайшов Cross-Site Scripting уразливості на проекті http://rupor.info (онлайн ЗМІ). Про що найближчим часом сповіщу адміністрацію проекту.
Детальна інформація про уразливості з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.
07.05.2008
XSS:
Дана уразливість вже не працює, тому що в скрипті full.php заданий редирект на основний сайт.
XSS:
Дані уразливості досі не виправлені.
У жовтні, 16.10.2007, я знайшов HTTP Response Splitting уразливість в системі pMachinePro. Раніше я вже писав стосовно редиректора в даній CMS.
HTTP Response Splitting уразливість в скрипті sitelaunch.php в параметрі go. Котра може бути використана зокрема для проведення Cross-Site Scripting атаки.
XSS:
http://site/members/sitelaunch.php?go=%0AContent-Type:html%0A%0A%3Cscript%3Ealert(document.cookie)%3C/script%3E
Уразлива версія pMachinePro 2.4 та попередні версії. Дана CMS більше не підтримується і на зміну їй пришла нова система - ExpressionEngine. Про уразливість в якій я також вже писав.
В даній добірці уразливості в веб додатках:
* 
You are currently browsing the archives for the Уразливості category.
Copyright © 2006-2025 MustLive. Усі права захищені.
Партнер проекту Websecurity.com.ua - веб проект mlfun.org.ua.