Архів для категорії 'Уразливості'

« Попередні записи
Наступні записи »

Уразливість на diradvert.spylog.com

20:50 02.05.2007

03.02.2007

У листопаді, 01.11.2006, я знайшов HTTP Response Splitting (з Cross-Site Scripting) уразливість на сайті http://diradvert.spylog.com - сервісі відомого проекта spylog.ru. Про що найближчим часом сповіщу адміністрацію проекту.

Деякий час тому я вже розповідав про уразливість на spylog.ru.

Детальна інформація про уразливість з’явиться пізніше.

02.05.2007

HTTP Response Splitting (XSS):

Дана уразливість досі не виправлена.

Опубліковано в Уразливості | Без Коментарів »

Добірка уразливостей

16:09 30.04.2007

В даній добірці уразливості в веб додатках:

  • AFGB GUESTBOOK 2.2 (Htmls) Remote File Include Vulnerabilities (деталі)
  • phpBB Ajax Shoutbox <= 0.0.5 Remote File Include Vulnerability (деталі)
  • phpBB Import Tools Mod <= 0.1.4 Remote File Include Vulnerability (деталі)
  • DuWare DuNews SQL Injection Vuln (деталі)
  • Ultimate HelpDesk All Version (Source/XSS) Vulnerabilities (деталі)
  • Aspee Ziyareti Defteri (tr) Sql injection Vuln. (деталі)
  • Multiple cross-site scripting (XSS) vulnerabilities in KorviBlog 1.3.0 (деталі)
  • Authentication bypass in Drupal Pubcookie module (деталі)
  • Виконання довільного кода в GTetrinet (деталі)
  • PHP remote file inclusion vulnerability in Fire Soft Board (FSB) (деталі)

Опубліковано в Уразливості | Без Коментарів »

Уразливості на kino.ukr.net та informers.ukr.net

21:46 29.04.2007

01.02.2007

У жовтні, 31.10.2006, я знайшов Cross-Site Scripting уразливості на популярних проектах http://kino.ukr.net та http://informers.ukr.net. Про що найближчим часом сповіщу адміністрацію проектів.

Раніше я вже згадував про уразливості на job.ukr.net - діри на іншому сервісі ukr.net.

Детальна інформація про уразливості з’явиться пізніше.

29.04.2007

XSS:

Дані уразливості досі не виправлені.

Опубліковано в Уразливості | 2 Коментарів »

Місяць багів в MySpace: день двадцять сьомий та двадцять восьмий

19:17 29.04.2007

Триває Місяць багів в MySpace. І його засновники у власній манері продовжують інформувати про діри в безпеці MySpace.

Як повідомляється (а точніше не повідомляється) на офіційному сайті Month of MySpace Bugs, позавчора та учора, на двадцять сьомий та двадцять восьмий дні не було упобліковано жотних деталей про уразливісті.

В останні два дні засновники MOMB посилено відпочивали, ледарі такі вони ;-) . Їм було ліньки постити інформацію про нові баги. Хоча подібна інформація у них є, і я то знаю напевно, бо сам надсилав їм дані про дірки в Майспейсі. Подібна ситуація вже була на двадцять перший та двадцять другий день Місяця багів.

Двадцять сьомий та двадцять восьмий дні Місяця багів в MySpace видалися зовсім не цікавими. Чекаємо на наступний день багів.

Опубліковано в Новини сайту, Уразливості | Без Коментарів »

Добірка уразливостей

16:36 28.04.2007

В даній добірці уразливості в веб додатках:

  • Invision Community Blog Mod 1.2.4 .PHP SQL Injection Vulnerability (деталі)
  • Seditio <= 1.10 (pollid) Remote SQL Injection Vulnerability (деталі)
  • @lex Guestbook 4.0.1 : Full Path Disclosure & XSS (деталі)
  • @lex Guestbook 4.0.1 : Full Path Disclosure & XSS (деталі)
  • DuWare DuClassMate SQL Injection Vuln (деталі)
  • freeqboard <= 1.1 (qb_path) Remote File Include Vulnerability (деталі)
  • Міжсайтовий скриптінг та розкриття даних в Webmin / Usermin (деталі)
  • Updated links packages fix smb vulnerability (деталі)
  • Обхід обмежень безпеки в Cerberus Helpdesk (деталі)
  • Multiple PHP remote file inclusion vulnerabilities in MyABraCaDaWeb 1.0.3 (деталі)

Опубліковано в Уразливості | Без Коментарів »

Уразливості на hakin9.org

22:30 27.04.2007

02.02.2007

У жовтні, 31.10.2006, я знайшов Cross-Site Scripting уразливості на популярному проекті http://hakin9.org (на самому сайті та на одному з його сервісів) - сайті журналу про хакінг та IT секюріті. Про що найближчим часом сповіщу адміністрацію проекту.

Детальна інформація про уразливості з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

27.04.2007

XSS (persistent):

POST запит на http://hakin9.org та http://en.hakin9.org в полі Search:
"><script>alert(document.cookie)</script>

Дана уразливість вже виправлена.

XSS:

Сервіс підписки на повідомлення з веб сайту hakin9.org.

Дана уразливість досі не виправлена.

Опубліковано в Уразливості | Без Коментарів »

Місяць багів в MySpace: день двадцять п’ятий та двадцять шостий

17:29 27.04.2007

Триває Місяць багів в MySpace. І його засновники продовжують інформувати про діри в безпеці MySpace.

Як повідомляється на офіційному сайті Month of MySpace Bugs, позавчора та учора, на двадцять п’ятий та двадцять шостий дні були упобліковані деталі про дві уразливості.

  • MOMBY-00010010: Video Upload “title” Image Alt Text Error (деталі)
  • MOMBY-00010011: Pimp-My-Profile “Hide Friends” Information Disclosure (деталі)

Перший баг - це навіть не уразливість, а звичайний баг (хоча на початку місяця, там могла бути реальна дірка, до того як Майспейс пофіксив свої фільтри). Другий баг - це уразливість, що може привести до витоку інформації.

Двадцять п’ятий та двадцять шостий дні Місяця багів в MySpace видалися цікавими. Чекаємо на наступний день багів.

Опубліковано в Новини сайту, Уразливості | Без Коментарів »

Добірка уразливостей

17:41 26.04.2007

В даній добірці уразливості в веб додатках:

  • phpmyfaq exploit using PHP bug (деталі)
  • Invision Gallery 2.0.7 SQL Injection Vulnerability (деталі)
  • LifeType version 1.1.2 Multiple Path Disclosure Vulnerabilities (деталі)
  • Woltlab Burning Board 2.3.X XSS Vulnerability (0-Day) FIXED VERSION (деталі)
  • LDU <= 8.x (polls.php) Remote SQL Injection Vulnerability (деталі)
  • contentserv 4.x (деталі)
  • Розкриття даних в Cybozu Office (деталі)
  • PHP remote file inclusion vulnerability in Open Bulletin Board (OpenBB) (деталі)
  • Directory traversal vulnerability in CCleague Pro Sports CMS (деталі)
  • PHP remote file inclusion vulnerability in mcGalleryPRO 2006 (деталі)

Опубліковано в Уразливості | Без Коментарів »

Уразливості на bizbanner.com.ua

21:41 25.04.2007

30.01.2007

У жовтні, 30.10.2006, я знайшов Cross-Site Scripting уразливості на відомому проекті http://bizbanner.com.ua. Про що найближчим часом сповіщу адміністрацію проекту.

Детальна інформація про уразливості з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

25.04.2007

XSS:

Дані уразливості досі не виправлені.

Опубліковано в Уразливості | Без Коментарів »

Місяць багів в MySpace: день двадцять третій та двадцять четвертий

19:24 25.04.2007

Триває Місяць багів в MySpace. І його засновники продовжують інформувати про діри в безпеці MySpace.

Як повідомляється на офіційному сайті Month of MySpace Bugs, позавчора та учора, на двадцять третій та двадцять четвертий дні були упобліковані деталі про дві уразливості.

  • MOMBY-00010000: Myspace Cross-Site Request Forgery (CSRF) Signout (деталі)
  • MOMBY-00010001: Clickable “numberPagesBack” XSS (деталі)

Перший баг - це проста CSRF (XSRF) уразливість, яка тим не менш може бути використана для недобрих справ (в даному випадку логаут користувача). Другий баг - це XSS дірка, причому не автоматична, а з необхідністю виконання кліка користувачем.

Двадцять третій та двадцять четвертий дні Місяця багів в MySpace видалися цікавими. Чекаємо на наступний день багів.

Опубліковано в Новини сайту, Уразливості | Без Коментарів »


« Попередні записи
Наступні записи »