Websecurity - Веб безпека

Продовжується Місяць багів в Капчах і сьогодні я опублікував нові уразливості.

На восьмий день Місяця багів в Капчах я опублікував інформацію про дірки в логічних Капчах (на сайтах wait-till-i.com та shamanomaly.com). Дані Капчі вразливі до MustLive CAPTCHA bypass method.

• MoBiC-08: logical CAPTCHA bypass (деталі)

Очікуємо на наступний день Month of Bugs in Captchas.

В даній добірці уразливості в веб додатках:

• Multiple SQL injection vulnerabilities in DocMan 1.3 RC2 (деталі)
• PHP remote file inclusion vulnerability in RS Gallery2 component (com_rsgallery2) for Joomla! (деталі)
• Vulnerability in RS Gallery2 component (com_rsgallery2) for Joomla! (деталі)
• Jetbox CMS version 2.1 XSS Attack Vulnerability (деталі)
• ClonusWiki .5 Cross-Site Scripting Vulnerability (деталі)
• Sun Java System Web Proxy Multiple Buffer Overflow Vulnerabilities (деталі)
• Inout Meta Searh engine Remote Code Execution (деталі)
• Multiple SQL injection vulnerabilities in Doug Luxem Liberum Help Desk (деталі)
• Міжсайтовий скриптінг в phpComasy (деталі)
• Декілька уразливостей в OpenBase SQL (деталі)
• Vulnerability in Business Objects Crystal Enterprise 9 and 10 (деталі)
• Cross-site scripting (XSS) vulnerability in TikiWiki 1.9.6 (деталі)
• Cross-site scripting (XSS) vulnerability in TikiWiki (деталі)
• Міжсайтовий скриптінг в Portix2 (деталі)
• Обхід каталогу в Network Administration Visualized (деталі)

Продовжується Місяць багів в Капчах і сьогодні я опублікував нову уразливість.

На сьомий день Місяця багів в Капчах я опублікував інформацію про дірку в Капчі mt-scode (це плагін для Movable Type, а також є порт для Drupal). Дана Капча вразлива до MustLive CAPTCHA bypass method.

• MoBiC-07: mt-scode CAPTCHA bypass (деталі)

Очікуємо на наступний день Month of Bugs in Captchas.

09.01.2007

Нещодавно, 06.01.2007, я знайшов численні Cross-Site Scripting уразливості на відомому секюріті проекті http://www.securitylab.ru. Про що найближчим часом сповіщу адміністрацію проекту.

Секлаб - це один з популярних ресурсів Рунета на тему безпеки, один з моїх улюблених сайтів даної тематики і дуже прикро бачити уразливості (й чимало) на даному ресурсі.

Детальна інформація про уразливості з’явиться пізніше.

07.11.2007

XSS:

• alert(’XSS’)
• alert(document.cookie)
• цікавий
• alert(document.cookie)
• alert(document.cookie)
• alert(document.cookie)
• alert(document.cookie)
• alert(document.cookie)

Це універсальні XSS в PDF. Адміни секлаба несерйозно віднеслися до моїх застережень (та взагалі несерйозно відреагували) і не виправили дані уразливості. Тому користувачам даного сайта варто слідкувати за власною безпекою. Раніше я також писав про дірки редиректори на securitylab.ru (в Бітрікс).

Продовжується Місяць багів в Капчах і сьогодні я опублікував нові уразливості.

На шостий день Місяця багів в Капчах я опублікував інформацію про дірки в Капчі itua.info. Дана Капча вразлива до двох методів обходу.

• MoBiC-06: itua.info CAPTCHA bypass (деталі)

Очікуємо на наступний день Month of Bugs in Captchas.

В даній добірці уразливості в веб додатках:

• Cross-site scripting (XSS) vulnerability in reviews section in PostNuke 0.764 (деталі)
• Vulnerability in DocMan 1.3 RC2 (деталі)
• Cross-site scripting (XSS) vulnerability in DocMan 1.3 RC2 (деталі)
• HLstats v1.35 Cross-Site Scripting Vulnerability #3 (деталі)
• RM EasyMail Plus - Cross-Site Scripting Vulnerability #2 (деталі)
• GMTT Music Distro 1.2 XSS Exploit (деталі)
• PsychoStats v3.0.6b Multiple Cross-Site Scripting Vulnerabilities (деталі)
• Updated links packages fix smb vulnerability (деталі)
• Cross-site scripting vulnerability in HIOX Star Rating System Script (HSRS) (деталі)
• Переповнення буферу в Essentia Web Server (деталі)
• SQL injection vulnerability in ContentNow (деталі)
• Multiple cross-site scripting vulnerabilities in PMOS Help Desk (Ace Helpdesk) (деталі)
• Декілька уразливостей в iPrimal Forums (деталі)
• PHP-інклюдинг в Soholaunch Pro (деталі)
• SQL injection vulnerability in Doug Luxem Liberum Help Desk (деталі)

Продовжується Місяць багів в Капчах і сьогодні я опублікував нові уразливості.

На п’ятий день Місяця багів в Капчах я опублікував інформацію про дірки в Капчах Гугла: на Блогері та на сайті Гугла. Дані Капчі вразливі до напів-автоматичного методу обходу. До того ж форма Гугла для додавання URL вразлива до автоматичного методу обходу, а також ця капча має уразливість типу редиректор.

• MoBiC-05: Blogger CAPTCHA bypass (деталі)
• MoBiC-05 Bonus: Google CAPTCHA bypass (деталі)

Очікуємо на наступний день Month of Bugs in Captchas.

Продовжується Місяць багів в Капчах і сьогодні я опублікував нову уразливість.

На четвертий день Місяця багів в Капчах я опублікував інформацію про дірку в Капчі reCaptcha (це популярний зовнішній сервіс капч). Дана Капча вразлива до одного цікавого методу обходу.

• MoBiC-04: reCaptcha CAPTCHA bypass (деталі)

Очікуємо на наступний день Month of Bugs in Captchas.

В даній добірці уразливості в веб додатках:

• Vulnerability in rating section in PostNuke 0.764 (деталі)
• Vulnerability in faq section in PostNuke 0.764 (деталі)
• Apple QTJava toQTPointer() Pointer Arithmetic Memory Overwrite Vulnerability (деталі)
• BoastMachine v3.0 platinum - Session Эd Hacking (деталі)
• CubeCart v3.0.16 SQL Injection Vulnerability (деталі)
• SQL-Injection in IP-TRACKING Mod for phpBB2.0.x (деталі)
• phpPgAdmin-4.1.1 Remote File Include & Url Redirecting Vulnerabilitiy (деталі)
• 3CTftpSvc <= 2.0.1 (Long Transporting Mode) Buffer Overflow PoC (деталі)
• SQL-ін’єкція в PHP Classifieds (деталі)
• Виконання довільного PHP коду в iWare Professional SimpleChat (деталі)
• PHP remote file inclusion vulnerability in HIOX Star Rating System Script (HSRS) (деталі)
• Multiple SQL injection vulnerabilities in HIOX Star Rating System Script (HSRS) (деталі)
• PHP-інклюдинг в Advanced Guestbook (деталі)
• Multiple cross-site scripting (XSS) vulnerabilities in DeskPRO (деталі)
• Уразливість при обробці HTML коду в браузері Konqueror (деталі)

Продовжується Місяць багів в Капчах і сьогодні я опублікував нову уразливість.

На третій день Місяця багів в Капчах я опублікував інформацію про дірки в Капчі Peter’s Custom Anti-Spam Image (це плагін для WordPress). Дана Капча вразлива до двох методів обходу.

• MoBiC-03: Peter’s Custom Anti-Spam Image CAPTCHA bypass (деталі)

Очікуємо на наступний день Month of Bugs in Captchas.