Websecurity - Веб безпека

В даній добірці уразливості в веб додатках:

• Dragon Business Directory <= V3.01.12 (ID) Remote SQL Injection Vulnerability (деталі)
• Enthrallweb eHomes 1.0 Multiple (SQL/XSS) Vulnerabilities (деталі)
• Enthrallweb ePhotos 1.0 (subLevel2.asp) Remote SQL Injection Vulnerability (деталі)
• Ananda Real Estate <= 3.4 (agent) Remote SQL Injection Vulnerability (деталі)
• myPHPNuke Gallery Module (basepath) Remote File Include (деталі)
• Shadowed Portal 5.7. Roster Module (mod_root) Remote File Include (деталі)
• PHP-інклюдинг в Fantastic News (деталі)
• SQL injection vulnerability in Techno Dreams FAQ Manager Package 1.0 (деталі)
• PHP remote file inclusion vulnerability in phpBB XS (деталі)
• Cross-site scripting (XSS) vulnerability in iDevSpot NixieAffiliate (деталі)

Продовжується Місяць багів в Пошукових Системах і сьогодні я опублікував нові уразливості.

На десятий день Місяця багів в Пошукових Системах я опублікував 10 Cross-Site Scripting уразливостей. Цього разу інформація про дірки в пошуковій системі Ask.

• MOSEB-10: Vulnerabilities at www.ask.com (деталі)
• MOSEB-10 Bonus: Vulnerabilities at www.ask.com (деталі)

2 XSS уразливості в пошуці Ask по вебу та 8 XSS в двох контактних формах на сайті пошуковця.

Очікуємо на наступний день Month of Search Engines Bugs.

Продовжується Місяць багів в Пошукових Системах і сьогодні я опублікував нові уразливості.

На дев’ятий день Місяця багів в Пошукових Системах я опублікував 24 Cross-Site Scripting уразливості. Цього разу інформація про дірки в пошуковій системі Рамблер.

• MOSEB-09: Vulnerabilities at Rambler (деталі)
• MOSEB-09 Bonus: Vulnerabilities at ftpsearch.rambler.ru (деталі)

12 XSS уразливостей в пошуку Рамблера по архівам (по 4 XSS в linux.rambler.ru, freebsd.rambler.ru та msdn.rambler.ru) та 12 XSS в пошуці Рамблера по FTP.

Очікуємо на наступний день Month of Search Engines Bugs.

В даній добірці уразливості в веб додатках:

• a-blog Cross-Site Scripting Vulnerability (деталі)
• opentaps “SEARCH_STRING” Cross-Site Scripting Vulnerability (деталі)
• b2 - 0.5 * [index] Remote File Include Vulnerability (деталі)
• Okul Merkezi Portal v1.0 Remote File IncLude Vuln. (деталі)
• Calendar MX BASIC <= 1.0.2 (ID) Remote SQL Injection Vulnerability (деталі)
• Enthrallweb eCars 1.0 (types.asp) Remote SQL Injection Vulnerability (деталі)
• SQL injection vulnerability in Haberx 1.02 through 1.1 (деталі)
• Vulnerability in Zope (деталі)
• Multiple PHP remote file inclusion vulnerabilities in UNAK-CMS (деталі)
• SQL injection vulnerability in Techno Dreams Articles&Papers Package (деталі)

Продовжується Місяць багів в Пошукових Системах і сьогодні я опублікував нову уразливість.

На восьмий день Місяця багів в Пошукових Системах я опублікував одну Cross-Site Scripting уразливість. Цього разу інформація про дірку в пошуковій системі Search Europe.

• MOSEB-08: Vulnerability at searcheurope.com (деталі)

XSS уразливість в результатах пошуку Search Europe.

Очікуємо на наступний день Month of Search Engines Bugs.

Продовжується Місяць багів в Пошукових Системах і сьогодні я опублікував нові уразливості.

На сьомий день Місяця багів в Пошукових Системах я опублікував 3 Cross-Site Scripting уразливості. Цього разу інформація про дірки в пошуковій системі Яндекс та її локальному пошуковці.

• MOSEB-07: Vulnerability at blogs.yandex.ru (деталі)
• MOSEB-07 Bonus: Vulnerabilities in Yandex.Server (деталі)

Одна XSS уразливість в пошуку по блогам Яндекса та дві XSS уразливості в локальному пошуковці Яndex.Server.

Очікуємо на наступний день Month of Search Engines Bugs.

В даній добірці уразливості в веб додатках:

• Mono XSP ASP.NET Server sourcecode disclosure vulnerability (деталі)
• EternalMart Guestbook 1.1.0 [emgb_admin_path] Remote File Include (деталі)
• KISGB (Keep It Simple Guest Book)* [default_path_for_themes] Remote File Include (деталі)
• Xt-News 0.1 : SQL Injection Vulnerability & XSS (деталі)
• Multiple Remote Vulnerabilities in KISGB (деталі)
• Hacking AJAX DWR Applications (деталі)
• PHP remote file inclusion vulnerability in BolinOS (деталі)
• SQL injection vulnerability in QuadComm Q-Shop 3.5 (деталі)
• Fedora Core 6 Update: ruby-1.8.5.2-1.fc6 (деталі)
• Міжсайтовий скриптінг в Attachment Mod (модуль до phpBB) (деталі)

Продовжується Місяць багів в Пошукових Системах і сьогодні я опублікував нові уразливості.

На шостий день Місяця багів в Пошукових Системах я опублікував Cross-Site Scripting та Full path disclosure уразливості. Цього разу інформація про дірки в пошуковій системі Clusty.

• MOSEB-06: Vulnerabilities at clusty.com (деталі)

Дві уразливості (XSS та Full path disclosure) в повідомленні про помилку на сайті пошуковця.

Очікуємо на наступний день Month of Search Engines Bugs.

22.12.2006

Сьогодні, на початку доби, я знайшов декілька Cross-Site Scripting уразливостей на сайті відомого пошуковця http://search.live.com - це нова версія пошукової системи від Microsoft (search.msn.com). Про що найближчим часом сповіщу адміністрацію пошукової системи.

Детальна інформація про уразливості з’явиться пізніше.

06.06.2007

XSS:

• alert(document.cookie)
• alert(document.cookie)
• alert(document.cookie) (IE)

Дані уразливості вже виправлені. Як повідомив мені представник Microsoft Live Search вони були виправлені 31.01.2007.

Продовжується Місяць багів в Пошукових Системах і сьогодні я опублікував нові уразливості.

На п’ятий день Місяця багів в Пошукових Системах я опублікував три цікаві Cross-Site Scripting уразливості. Цього разу інформація про дірки в MSN (у двох їх проектах).

• MOSEB-05: Vulnerability at shopping.msn.com (деталі)
• MOSEB-05 Bonus: Vulnerabilities at autos.msn.com (деталі)

Ці XSS уразливості в пошукових функціях двох проектів MSN доволі цікаві. Дані XSS базуються на розширеній версії моєї техніки Expressive comments filters bypass - моїй техніці Експресивних коментарів зі спейс-хакінгом для обходу фільтрів (Expressive comments space-hack filters bypass).

Очікуємо на наступний день Month of Search Engines Bugs.