Websecurity - Веб безпека

В даній добірці уразливості в веб додатках:

• SHTTPD V1.38 server source code disclosure (деталі)
• Fujitsu-Siemens PRIMERGY BX300 Switch Blade Information Disclosure (деталі)
• ActiveWeb Contentserver CMS Clientside Filtering of Page Editor Content (деталі)
• ActiveWeb Contentserver CMS Multiple Cross Site Scriptings (деталі)
• Wap Portal Server 1.* <= Remote File Inclusion (деталі)
• Sql injection bugs in Xoops 2.0.16 + Weblinks module (деталі)
• Adrenalin’s ASP Chat XSS (деталі)
• SQL-ін’єкція в 20/20 Data Shed (деталі)
• Vulnerability in TorrentFlux 2.2 (деталі)
• Code execution vulnerability in TorrentFlux 2.2 (деталі)
• Обхід каталогу в Conxint FTP Server (деталі)
• SQL-ін’єкція в WWWeb Concepts CactuShop (деталі)
• SQL-ін’єкція в SiteXpress E-Commerce System (деталі)
• Multiple cross-site scripting (XSS) vulnerabilities in ShopSite (деталі)
• SQL injection vulnerability in EasyPage (деталі)

Продовжується Місяць багів в Капчах і сьогодні я опублікував нову уразливість.

На двадцять сьомий день Місяця багів в Капчах я опублікував інформацію про дірку в Капчі internetua.com. Дана Капча вразлива до session reusing with null captcha bypass method.

• MoBiC-27: internetua.com CAPTCHA bypass (деталі)

Очікуємо на наступний день Month of Bugs in Captchas.

Учора була вивлена Cross-Site Scripting уразливість в Google. Котра працює в Internet Explorer версії до IE6 включно. Її виявив beford, котрий раніше вже знаходив XSS уразливість в Google Polls.

Дірка знайдена в сервісі iGoogle, в модулі для додавання гаджетів на свою персональну iGoogle сторінку. Вразливим виявився параметер screenshot в xml файлі гаджетів. Молодець, beford, доволі цікава уразливість .

XSS:

http://google.com/ig/adde?moduleurl=http://beford.org/stuff/ig.xml

Дана уразливість вже виправлена Гуглем, котрий за одну добу відреагував. Я зустрічав і більш швидку реакцію в своїй практиці, але тим не менш відреагували швидко.

Продовжується Місяць багів в Капчах і сьогодні я опублікував нові уразливості.

На двадцять шостий день Місяця багів в Капчах я опублікував інформацію про дірки в Капчі Captcha! (це плагін для WordPress). Дана Капча вразлива до Cross-Site Request Forgery, Insufficient Anti-automation та Cross-Site Scripting уразливостей.

• MoBiC-26: Captcha! CAPTCHA bypass (деталі)
• MoBiC-26 Bonus: XSS in Captcha! (деталі)

Очікуємо на наступний день Month of Bugs in Captchas.

В даній добірці уразливості в веб додатках:

• CheckPoint VPN-1 UTM Edge Cross Site Request Forgery vulnerability (деталі)
• Cross-Site Request Forgery Attack Against Check Point Safe@Office Device (деталі)
• ActiveWeb Contentserver CMS Editor Permission Settings Problem (деталі)
• ActiveWeb Contentserver CMS SQL Injection Management Interface (деталі)
• osCommerce Online Merchant v2.2 RC1 local include bug (деталі)
• Conti FTP Server v1.0 DoS (деталі)
• Command Injection in XML Digital Signatures (деталі)
• SQL injection vulnerability in Oxygen (O2PHP Bulletin Board) (деталі)
• PHP remote file inclusion vulnerability in the mx_tinies 1.3.0 Module for MxBB Portal 1.06 (деталі)
• Численні уразливості в ContentNow (деталі)
• SQL-ін’єкція в UPublisher (деталі)
• SQL injection vulnerability in Metyus Okul Yonetim Sistemi 1.0 (деталі)
• Cross-site scripting (XSS) vulnerability in CuteNews 1.3.6 (деталі)
• Directory traversal vulnerability in TorrentFlux 2.2 (деталі)
• SQL-ін’єкція в NuSchool (деталі)

Продовжується Місяць багів в Капчах і сьогодні я опублікував нову уразливість.

На двадцять п’ятий день Місяця багів в Капчах я опублікував інформацію про дірку в Капчі Anti Spam Image (це плагін для WordPress). Дана Капча вразлива до session reusing with constant captcha bypass method. Саме цю Капчу я використовую в себе на сайті (і я вже зробив нову пофіксену версію плагіна).

• MoBiC-25: Anti Spam Image CAPTCHA bypass (деталі)

Очікуємо на наступний день Month of Bugs in Captchas.

Продовжується Місяць багів в Капчах і сьогодні я опублікував нову уразливість.

На двадцять четвертий день Місяця багів в Капчах я опублікував інформацію про дірку в Капчі thepoorhouse.org.uk. Дана Капча вразлива до Content analysis CAPTCHA bypass method.

• MoBiC-24: thepoorhouse.org.uk CAPTCHA bypass (деталі)

Очікуємо на наступний день Month of Bugs in Captchas.

В даній добірці уразливості в веб додатках:

• HTTP SERVER (httpsv1.6.2) 404 Denial of Service (деталі)
• HTTP SERVER (httpsv1.6.2) source code disclosure (деталі)
• SQL Injection in SaphpLesson2.0 “show.php” (деталі)
• SiteScape forum prior 7.3 Cross Site Scripting (деталі)
• SiteScape forum prior 7.3 Cross Site Scripting (деталі)
• MkPortal - Multiple SQL Injection Vulnerabilities (деталі)
• ActiveWeb Contentserver CMS Multiple Cross Site Scriptings (деталі)
• SQL injection vulnerability in Expinion.net iNews Publisher (iNP) (деталі)
• Генерація передбачуваних ISAKMP кукісів в Novell BorderManager (деталі)
• Міжсайтовий скриптінг и SQL-ін’єкція в myStats (деталі)
• HTTP request smuggling vulnerability in Sun Java System Proxy Server (деталі)
• Directory traversal vulnerability in ContentServ 4.x (деталі)
• Cross-site scripting (XSS) vulnerability in @lex Guestbook 4.0.1 (деталі)
• SQL-ін’єкція в BrewBlogger (деталі)
• Vulnerability in @lex Guestbook 4.0.1 (деталі)

Продовжується Місяць багів в Капчах і сьогодні я опублікував нові уразливості.

На двадцять третій день Місяця багів в Капчах я опублікував інформацію про дірки в Капчі Math Comment Spam Protection (це плагін для WordPress). Дана Капча вразлива до MustLive CAPTCHA bypass method, а також має 2 Cross-Site Scripting уразливості.

• MoBiC-23: Math Comment Spam Protection CAPTCHA bypass (деталі)
• MoBiC-23 Bonus: XSS in Math Comment Spam Protection (деталі)

Очікуємо на наступний день Month of Bugs in Captchas.

Продовжується Місяць багів в Капчах і сьогодні я опублікував нову уразливість.

На двадцять другий день Місяця багів в Капчах я опублікував інформацію про дірку в Капчі peterhost.ru. Дана Капча вразлива до MustLive CAPTCHA bypass method.

• MoBiC-22: peterhost.ru CAPTCHA bypass (деталі)

Очікуємо на наступний день Month of Bugs in Captchas.