Websecurity - Веб безпека

Триває Місяць багів в MySpace. І його засновники продовжують інформувати про діри в безпеці MySpace.

Як повідомляється на офіційному сайті Month of MySpace Bugs, позавчора та учора, на дев’ятий та десятий дні були упобліковані деталі про дві уразливості (Cross-Site Scripting та HTML Injection).

• MOMBY-00001000: Myspace “Fuseaction” Event Handler XSS (деталі)
• MOMBY-00001001: Myspace Events searchForm “zip” HTML insertion (деталі)

Дев’ятий та десятий дні Місяця багів в MySpace видалися цікавими. Чекаємо на наступний день багів.

В даній добірці уразливості в веб додатках:

• Helm Cross Site Scripting (деталі)
• Уразливості скриптів з www.wr-script.ru (wr-board 1.4Lite) (деталі)
• WebHost Manager (WHM) Multiple Cross-Site Scripting (деталі)
• CPanel 11 Multiple Cross-Site Scription (деталі)
• PHP-Nuke Mermaid Module V1.2 (formdisp.php) Remote File Include Exploit (деталі)
• Cahier de texte V2.0 SQL Code Execution Exploit (деталі)
• Multiple PHP remote file inclusion in Yet Another Community System CMS (деталі)
• Численні уразливості в Joomla! (деталі)
• Vulnerability in DeluxeBB 1.06 (деталі)
• PHP remote file inclusion vulnerability in Bob Jewell Discloser (деталі)

20.01.2007

У жовтні, 16.10.2006, я знайшов Cross-Site Scripting уразливість на відомому сайті http://www.ripe.net. Про що найближчим часом сповіщу адміністрацію сайта.

Детальна інформація про уразливість з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

09.04.2007

XSS:

• alert(document.cookie)
• цікавий
• html включення

Дана уразливість досі не виправлена.

Триває Місяць багів в MySpace. І його засновники продовжують інформувати про діри в безпеці MySpace.

Як повідомляється на офіційному сайті Month of MySpace Bugs, позавчора та учора, на сьомий та восьмий дні були упобліковані деталі про одну уразливість.

• MOMBY-00000111: Myspace Cleartext Authentication (деталі)

Це дірка за сьоме число (стосовно передачі логінів та паролів відкритим текстом). Восьмого числа жодної інформації про діри не публікувалось, тому що була Пасха і Mondo Armando з Mustaschio вирішили не публікувати нових дір.

Сьомий та восьмий дні Місяця багів в MySpace видалися відносно цікавими та спокійними. Чекаємо на наступний день багів.

В даній добірці уразливості в веб додатках:

• Bloo => 1.00 Remote File Include Vulnerability (деталі)
• OdysseusBlog => 1.0.0 Cross Site Scripting (деталі)
• discloser => 0.0.4 Remote File Include Vulnerabilities (деталі)
• SAP Internet Graphics Service (IGS) Remote Arbitrary File Removal (деталі)
• SAP Internet Graphics Service (IGS) Undocumented Features (деталі)
• XSS in scriptat support InverseFlow Help Desk v2.31 (деталі)
• Security Vulnerability in the Java Runtime Environment Swing Library (деталі)
• Cross-site scripting (XSS) vulnerability in CubeCart (деталі)
• Multiple SQL injection vulnerabilities in Digiappz Freekot 1.01 (деталі)
• PHP-інклюдинг в ExBB Italia (деталі)

18.01.2007

У жовтні, 15.10.2006, я знайшов Cross-Site Scripting уразливості на сайтах http://kino.a.ua та http://news.a.ua - двох сервісах портала a.ua. Про що найближчим часом сповіщу адміністрацію портала.

Раніше я вже писав про уразливість на poisk.a.org.ua.

Детальна інформація про уразливість з’явиться пізніше.

07.04.2007

http://kino.a.ua

XSS:

• alert(document.cookie)

Уразливість вже виправили. Але замість однієї уразливості, допустили іншу - Full path disclosure.

http://news.a.ua

XSS:

• alert(document.cookie)

Дана уразливість вже виправлена.

Триває Місяць багів в MySpace. І його засновники продовжують інформувати про діри в безпеці MySpace.

Як повідомляється на офіційному сайті Month of MySpace Bugs, позавчора та учора, на п’ятий та шостий дні були упобліковані деталі про дві уразливості (Authentication Bypass та Cross-Site Scripting).

• Advisory MOMBY-00000101: Myspace Pics Authentication Bypass (деталі)
• MOMBY-00000110: Myspace Jobs Search XSS (деталі)

Перша уразливість являє собою обхід авторизації для огляду зображень розміщенних на порталі. Друга уразливість - це XSS. Причому зазначу, що обидві дірки були дуже швидко виправлені (адміни Майспейса швидко відреагували і тому не дали людям можливості протестувати дані дірки).

П’ятий та шостий дні Місяця багів в MySpace видалися цікавими. Чекаємо на наступний день багів.

В даній добірці уразливості в веб додатках:

• Plesk 8 - Multiple Cross Site Scripting Issues (деталі)
• blogcms => 4.0.0 Remote File Include (деталі)
• eggblog=> 3.1.0 Cross Site Scripting (деталі)
• BlogTorrent-preview => 0.92 Cross Site Scripting (деталі)
• Sphpblog => 0.8 Cross Site Scripting (деталі)
• dev_wms => 1.5 Remote File Include Vulnerabilities (деталі)
• PHP remote file inclusion vulnerability in CubeCart (деталі)
• SQL injection vulnerability in CubeCart (деталі)
• Міжсайтовий скриптінг в PmWiki (деталі)
• PHP-інклюдинг в CJ Tag Board (деталі)

10.01.2007

У жовтні, 15.10.2006, я знайшов Cross-Site Scripting уразливість на сайті http://poisk.a.org.ua (пошук по ftp) - одному з сервісів портала a.ua. Про що найближчим часом сповіщу адміністрацію портала.

Детальна інформація про уразливість з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

05.04.2007

XSS:

• alert(document.cookie)

Дана уразливість вже виправлена.

Триває Місяць багів в MySpace. І його засновники продовжують інформувати про діри в безпеці MySpace.

Як повідомляється на офіційному сайті Month of MySpace Bugs, позавчора та учора, на третій та четвертий дні були упобліковані деталі про дві уразливості (HTML Injection та Cross-Site Scripting).

• MOMBY-00000011: MySpace HTML/Link Insertion (XSS Filtered) (деталі)
• MOMBY-00000100: MySpace XSS (filter evasion) (деталі)

Це уразливості в одному скрипті. Спочатку знайшли HTML Injection, котра і була опублікована на третій день. А потім все ж таки виявили можливість ін’єкції XSS (що працює лише в IE), котру опублікували на наступний день.

Третій та четвертий дні Місяця багів в MySpace видалися цікавими. Чекаємо на наступний день багів.