Websecurity - Веб безпека

Продовжується Місяць багів в Капчах і вчора я опублікував нову уразливість.

На чотирнадцятий день Місяця багів в Капчах я опублікував інформацію про дірку в Капчі cgisecurity.com. Дана текстова Капча вразлива до сonstant value bypass method.

• MoBiC-14: cgisecurity.com CAPTCHA bypass (деталі)

Також я опублікував статтю Полювання на Капчі (Hunting for CAPTCHAs).

Очікуємо на наступний день Month of Bugs in Captchas.

В даній добірці уразливості в веб додатках:

• webCMS_1.00 Database Disclosure Vulnerabilitiy (деталі)
• CommuniGate Pro web mail persistent cross-site scripting vulnerability (деталі)
• PeerCast streaming server submits cleartext password (деталі)
• Ublog Reload Admin Panel Multiple HTML Injections (деталі)
• Security Advisory for Bugzilla 2.20.3, 2.22.1, and 2.23.3 (деталі)
• Sun JDK/JRE: Multiple vulnerabilities (деталі)
• PHP remote file inclusion vulnerability in WebBuilder (деталі)
• Updated proftpd packages fix vulnerabilities (деталі)
• SQL injection vulnerability in Wallpaper Website (Wallpaper Complete Website) (деталі)
• Multiple SQL injection vulnerabilities in Wallpaper Website (Wallpaper Complete Website) (деталі)
• slackware-security: mozilla-firefox (деталі)
• SQL-ін’єкція в OmniStar Article (деталі)
• SQL injection vulnerability in Nivisec Hacks List (деталі)
• PHP remote file inclusion vulnerability in the Mermaid 1.2 module for PHP-Nuke (деталі)
• Міжсайтовий скриптінг в Wheatblog (деталі)

Продовжується Місяць багів в Капчах і сьогодні я опублікував нову уразливість.

На тринадцятий день Місяця багів в Капчах я опублікував інформацію про дірку в Капчі expert.com.ua. Дана текстова логічна Капча вразлива до MustLive CAPTCHA bypass method.

• MoBiC-13: expert.com.ua CAPTCHA bypass (деталі)

Очікуємо на наступний день Month of Bugs in Captchas.

Продовжується Місяць багів в Капчах і сьогодні я опублікував нові уразливості.

На дванадцятий день Місяця багів в Капчах я опублікував інформацію про дірки в Капчі Peter’s Random Anti-Spam Image (це плагін для WordPress). Дана Капча вразлива до half-automated method та має Cross-Site Scripting уразливість.

• MoBiC-12: Peter’s Random Anti-Spam Image CAPTCHA bypass (деталі)
• MoBiC-12 Bonus: Peter’s Random Anti-Spam Image XSS (деталі)

Очікуємо на наступний день Month of Bugs in Captchas.

В даній добірці уразливості в веб додатках:

• SonicBB version 1.0 XSS Attack Vulnerabilities (деталі)
• SonicBB version 1.0 Multiple Path Disclosure Vulnerabilities (деталі)
• XSS in Microsoft SharePoint (деталі)
• Pligg critical vulnerability (деталі)
• BoastMachine index.php Cross Site Scripting Vulnerability (деталі)
• Web Directory / Search Engine v2.0 Authentication Bypass/Database Download Vulne (деталі)
• Vulnerability - cpCommerce - XSS (деталі)
• ProFTPD: Remote execution of arbitrary code (деталі)
• Multiple cross-site scripting (XSS) vulnerabilities in BirdBlog 1.4.0 (деталі)
• PHP remote file inclusion vulnerability in Site News (site_news) (деталі)
• slackware-security: seamonkey (деталі)
• SQL-ін’єкція в abarcar Realty Portal (деталі)
• PHP remote file inclusion vulnerability in PEGames (деталі)
• Інклюдинг локальних файлів в phpMyChat Plus (деталі)
• Уразливість при обрабці HTML коду в браузері Safari (деталі)

Продовжується Місяць багів в Капчах і сьогодні я опублікував нову уразливість.

На одинадцятий день Місяця багів в Капчах я опублікував інформацію про дірку в Капчі Digg. Дана Капча вразлива до MustLive CAPTCHA bypass method.

• MoBiC-11: Digg CAPTCHA bypass (деталі)

Очікуємо на наступний день Month of Bugs in Captchas.

12.07.2007

У січні, 17.01.2007, я знайшов Cross-Site Scripting уразливість на http://s9y.org - офіційному сайті движка Serendipity. Про що найближчим часом сповіщу адміністрацію сайту.

Детальна інформація про уразливість з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

11.11.2007

XSS:

• alert(document.cookie)
• цікавий
• html включення (PR7 )

Дана уразливість досі не виправлена. Причому адмін s9y.org відповів на мого листа, подякував та сказав, що займеться цією діркою, але так досі її не виправив. Не варто забувати про дірки на своєму сайті.

Продовжується Місяць багів в Капчах і сьогодні я опублікував нові уразливості.

На десятий день Місяця багів в Капчах я опублікував інформацію про дірки в Капчі PHP-Nuke. Дана Капча вразлива до MustLive CAPTCHA bypass method та Null string bypass method.

• MoBiC-10: PHP-Nuke CAPTCHA bypass (деталі)
• MoBiC-10 Bonus: another PHP-Nuke CAPTCHA bypass (деталі)

Очікуємо на наступний день Month of Bugs in Captchas.

В даній добірці уразливості в веб додатках:

• rPSA-2007-0081-1 postgresql postgresql-server (деталі)
• Untrusted search path vulnerability in PostgreSQL (деталі)
• SonicBB version 1.0 Multiple SQL Injection Vulnerabilities (деталі)
• RFI In Script FlashChat_v479 (деталі)
• New otrs2 packages fix cross-site scripting (деталі)
• GTP 3G © Gnuturk Portal System year=**&month= Cross-Site Scripting Vulnerability (деталі)
• Multiple XSS in Digirez (деталі)
• Cross-site scripting vulnerability in the JCE Admin Component in Ryan Demmer Joomla Content Editor 1.0.4 for Joomla! (деталі)
• Multiple PHP remote file inclusion vulnerabilities in Active PHP Bookmarks (APB) 1.1.02 (деталі)
• Vulnerability in TikiWiki before 1.9.7 (деталі)
• Завантаження довільних файлів і міжсайтовий скриптінг в SpeedyWiki (деталі)
• NetBSD FTPd / tnftpd Remote Stack Overflow PoC (деталі)
• CSRF уразливість в Trac (деталі)
• Інклюдинг локальних файлів і міжсайтовий скриптінг в FreeWebshop.org Script (деталі)
• Vulnerability in WebKit in Apple Mac OS X (деталі)

Продовжується Місяць багів в Капчах і сьогодні я опублікував нову уразливість.

На дев’ятий день Місяця багів в Капчах я опублікував інформацію про дірку в Капчі opennet.ru (раніше я вже писав про уразливості на www.opennet.ru). Дана Капча вразлива до Advanced MustLive CAPTCHA bypass method.

• MoBiC-09: opennet.ru CAPTCHA bypass (деталі)

Очікуємо на наступний день Month of Bugs in Captchas.