Websecurity - Веб безпека

Триває Місяць багів в MySpace. І його засновники продовжують інформувати про діри в безпеці MySpace.

Як повідомляється на офіційному сайті Month of MySpace Bugs, позавчора та учора, на одинадцятий та дванадцятий дні були упобліковані деталі про дві уразливості.

• Special Guest Advisory: CAU-2006-0001 (деталі)
• MOMBY-00001010: Multiple Myspace Operational Bugs (деталі)

Перший баг - це опис уразливості Myspace.com Trojaned Navigation Menu. А другий баг - це сукупність одразу п’яти дір в безпеці Майспейса.

Одинадцятий та дванадцятий дні Місяця багів в MySpace видалися цікавими. Чекаємо на наступний день багів.

В даній добірці уразливості в веб додатках:

• PHP-Nuke <= 7.9 News module "sid" SQL Injection vulnerabilities (деталі)
• Ultimate Survey Pro SQL Injection (деталі)
• iNews News Manager SQL Injection (деталі)
• MidiCart ASP Shopping Cart SQL Injection (деталі)
• ASP ListPics 5.0 SQL Injection (деталі)
• Fixit iDMS Pro Image Gallery SQL Injection (деталі)
• PHP remote file inclusion vulnerability in the JIM component for Mambo and Joomla! (деталі)
• Розкриття даних в Cybozu Collaborex (деталі)
• Міжсайтовий скриптінг в HLstats (деталі)
• PHP remote file inclusion in com_comprofiler Components 1.0 RC2 for Mambo and Joomla! (деталі)

21.01.2007

У жовтні, 16.10.2006, я знайшов Cross-Site Scripting уразливість на веб-порталі Київської мiської влади http://kmv.gov.ua - сайті Київської Мiської Державної Адмiнiстрацiї. Про що найближчим часом сповіщу адміністрацію сайта.

Нещодавно я писав про Уразливість на сайті Президента України, а також про Уразливість на сайті Кабінета Міністрів України та про аудит безпеки сайта Верховної Ради України. Державним установам варто більше слідкувати за безпекою своїх сайтів, котрі мають проблеми з безпекою, як показує практика.

Детальна інформація про уразливість з’явиться пізніше.

11.04.2007

XSS:

• alert(document.cookie)

Дана уразливість вже виправлена.

Триває Місяць багів в MySpace. І його засновники продовжують інформувати про діри в безпеці MySpace.

Як повідомляється на офіційному сайті Month of MySpace Bugs, позавчора та учора, на дев’ятий та десятий дні були упобліковані деталі про дві уразливості (Cross-Site Scripting та HTML Injection).

• MOMBY-00001000: Myspace “Fuseaction” Event Handler XSS (деталі)
• MOMBY-00001001: Myspace Events searchForm “zip” HTML insertion (деталі)

Дев’ятий та десятий дні Місяця багів в MySpace видалися цікавими. Чекаємо на наступний день багів.

В даній добірці уразливості в веб додатках:

• Helm Cross Site Scripting (деталі)
• Уразливості скриптів з www.wr-script.ru (wr-board 1.4Lite) (деталі)
• WebHost Manager (WHM) Multiple Cross-Site Scripting (деталі)
• CPanel 11 Multiple Cross-Site Scription (деталі)
• PHP-Nuke Mermaid Module V1.2 (formdisp.php) Remote File Include Exploit (деталі)
• Cahier de texte V2.0 SQL Code Execution Exploit (деталі)
• Multiple PHP remote file inclusion in Yet Another Community System CMS (деталі)
• Численні уразливості в Joomla! (деталі)
• Vulnerability in DeluxeBB 1.06 (деталі)
• PHP remote file inclusion vulnerability in Bob Jewell Discloser (деталі)

20.01.2007

У жовтні, 16.10.2006, я знайшов Cross-Site Scripting уразливість на відомому сайті http://www.ripe.net. Про що найближчим часом сповіщу адміністрацію сайта.

Детальна інформація про уразливість з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

09.04.2007

XSS:

• alert(document.cookie)
• цікавий
• html включення

Дана уразливість досі не виправлена.

Триває Місяць багів в MySpace. І його засновники продовжують інформувати про діри в безпеці MySpace.

Як повідомляється на офіційному сайті Month of MySpace Bugs, позавчора та учора, на сьомий та восьмий дні були упобліковані деталі про одну уразливість.

• MOMBY-00000111: Myspace Cleartext Authentication (деталі)

Це дірка за сьоме число (стосовно передачі логінів та паролів відкритим текстом). Восьмого числа жодної інформації про діри не публікувалось, тому що була Пасха і Mondo Armando з Mustaschio вирішили не публікувати нових дір.

Сьомий та восьмий дні Місяця багів в MySpace видалися відносно цікавими та спокійними. Чекаємо на наступний день багів.

В даній добірці уразливості в веб додатках:

• Bloo => 1.00 Remote File Include Vulnerability (деталі)
• OdysseusBlog => 1.0.0 Cross Site Scripting (деталі)
• discloser => 0.0.4 Remote File Include Vulnerabilities (деталі)
• SAP Internet Graphics Service (IGS) Remote Arbitrary File Removal (деталі)
• SAP Internet Graphics Service (IGS) Undocumented Features (деталі)
• XSS in scriptat support InverseFlow Help Desk v2.31 (деталі)
• Security Vulnerability in the Java Runtime Environment Swing Library (деталі)
• Cross-site scripting (XSS) vulnerability in CubeCart (деталі)
• Multiple SQL injection vulnerabilities in Digiappz Freekot 1.01 (деталі)
• PHP-інклюдинг в ExBB Italia (деталі)

18.01.2007

У жовтні, 15.10.2006, я знайшов Cross-Site Scripting уразливості на сайтах http://kino.a.ua та http://news.a.ua - двох сервісах портала a.ua. Про що найближчим часом сповіщу адміністрацію портала.

Раніше я вже писав про уразливість на poisk.a.org.ua.

Детальна інформація про уразливість з’явиться пізніше.

07.04.2007

http://kino.a.ua

XSS:

• alert(document.cookie)

Уразливість вже виправили. Але замість однієї уразливості, допустили іншу - Full path disclosure.

http://news.a.ua

XSS:

• alert(document.cookie)

Дана уразливість вже виправлена.

Триває Місяць багів в MySpace. І його засновники продовжують інформувати про діри в безпеці MySpace.

Як повідомляється на офіційному сайті Month of MySpace Bugs, позавчора та учора, на п’ятий та шостий дні були упобліковані деталі про дві уразливості (Authentication Bypass та Cross-Site Scripting).

• Advisory MOMBY-00000101: Myspace Pics Authentication Bypass (деталі)
• MOMBY-00000110: Myspace Jobs Search XSS (деталі)

Перша уразливість являє собою обхід авторизації для огляду зображень розміщенних на порталі. Друга уразливість - це XSS. Причому зазначу, що обидві дірки були дуже швидко виправлені (адміни Майспейса швидко відреагували і тому не дали людям можливості протестувати дані дірки).

П’ятий та шостий дні Місяця багів в MySpace видалися цікавими. Чекаємо на наступний день багів.