Websecurity - Веб безпека

В даній добірці уразливості в веб додатках:

• mAlbum v0.3 Multiple vulnerabilitizzz (деталі)
• Wabbit PHP Gallery => 0.9 Remote Traversal Directory (деталі)
• BirdBlog => v1.4.0 Cross Site Scripting (деталі)
• LoudMouth => 2.4 Remote File Include Vulnerabilities (деталі)
• Telaen => 1.1.0 Remote File Include Vulnerability (деталі)
• klf-realty [injection sql] (деталі)
• CRLF injection vulnerability in NX5Linx (деталі)
• SQL-ін’єкція в Xoops (деталі)
• Розкриття даних в Cybozu Share360 (деталі)
• Bugzilla: Multiple Vulnerabilities (деталі)

28.12.2006

У жовтні, 14.10.2006, я знайшов Cross-Site Scripting уразливість на популярному проекті http://justua.info (пошук в Гуглі через UA-IX). Про що найближчим часом сповіщу адміністрацію проекту.

Детальна інформація про уразливість з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

26.03.2007

XSS:

• alert(document.cookie)
• alert(’XSS’)
• цікавий
• html включення

Дана уразливість досі не виправлена.

В даній добірці уразливості в веб додатках:

• aBitWhizzy [local file include] (деталі)
• Security analysis of cutenews 1.4.5 (деталі)
• The Classified Ad System [multiple xss & injection sql] (деталі)
• ltwCalendar => 4.2.1 Remote File Include Vulnerabilities (деталі)
• my little weblog => Cross Site Scripting (деталі)
• Classified System [injection sql] (деталі)
• Розкриття даних в PHProjekt Content Management Module (деталі)
• Обхід аутентифікації в eFiction (деталі)
• Cross-site scripting vulnerability in PmWiki (деталі)
• PHP remote file inclusion vulnerability in Web3news (деталі)

29.12.2006

У жовтні, 13.10.2006, я знайшов Cross-Site Scripting уразливість на популярному проекті http://mojoflix.com (відомий сервіс розміщення відео контенту). Про що найближчим часом сповіщу адміністрацію проекту.

Детальна інформація про уразливість з’явиться пізніше.

Про схожу уразливість на подібному проекті www.youtube.com я вже писав.

24.03.2007

XSS:

POST запит на сторінці http://mojoflix.com/Videos/Search в полі пошуку:

"><script>alert(document.cookie)</script>

Уразливість вже виправлена.

В даній добірці уразливості в веб додатках:

• Vulnerability in PostNuke (деталі)
• LDU <= 8.x Remote SQL Injection Vulnerability. (деталі)
• Seditio <= 1.10 Remote SQL Injection Vulnerability. (деталі)
• JiRos Links Manager[injection sql & xss permanent] (деталі)
• creadirectory [injection sql & xss] (деталі)
• Link Exchange Lite [injection sql] (деталі)
• Інклюдинг локальних файлів в Wikepage (деталі)
• Multiple PHP remote file inclusion vulnerabilities in interact 2.2 (деталі)
• Vulnerability in Xchat 2.6.7 (деталі)
• Cross-site scripting vulnerability in HLstats 1.34 (деталі)

15.10.2006

Про уразливості (зокрема XSS) на веб сайтах інтернет ЗМІ - на різноманітних новинних ресурсах, як онлайнових ЗМІ, так і сайтів газет, офлайнових ЗМІ - я писав чимало, і ще багато подібних прикладів наведу. В мене в списку уразливих сайтів серед інших дуже багато зустрічається саме новинних сайтів, як це можна побачи з моїх повідомлень. Це новинні сайти Уанету і Рунету. Та й зокрема слід відзначити, що адміни саме цієї категорії сайтів найменш серйозно відносяться до безпеки і дуже слабо реагують на мої повідомлення (рідко виправляють уразливості). І я рекомендую їм всім переглянути свою політику безпеки власних сайтів.

Три дні тому, 12.10.2006, я знайшов кілька Cross-Site Scripting уразливостей на відомому новинному проекті http://weekly.com.ua (до речі, це веб сайт газети, в якій працює мій брат). Про що найближчим часом сповіщу адміністрацію проекту.

Детальна інформація про уразливості з’явиться пізніше.

22.03.2007

XSS:

• alert(document.cookie)
• alert(document.cookie)
• alert(document.cookie)
• цікавий
• html включення

Дані уразливості досі не виправлені.

В даній добірці уразливості в веб додатках:

• Travelsized CMS - Multiple Cross Site Scripting Issues (деталі)
• NetBSD FTPD and ports ***REMOTE ROOOOOT HOLE*** (деталі)
• NetBSD FTPD and ports ***REMOTE ROOOOOT HOLE*** (деталі)
• phpPC 1.04 Multiples Remote File Inclusion (деталі)
• Pearl Forums 2.4 Multiple Remote File Include Vulnerabilities (деталі)
• PhotoCart 3.9 (adminprint.php) Remote File Include Vulnerability (деталі)
• Direct static code injection vulnerability in CJ Tag Board (деталі)
• Vulnerability in usercp_avatar.php in PHPBB 2.0.20 (деталі)
• Cross-site scripting vulnerability in MyBulletinBoard (деталі)
• PHP-інклюдинг в phpCOIN (деталі)

27.12.2006

У жовтні, 12.10.2006, я знайшов декілька Cross-Site Scripting уразливостей на популярному проекті http://www.nist.org - Network Information Security & Technology News (сайт про новини в галузі інформаційної безпеки). Про що найближчим часом сповіщу адміністрацію проекту.

Про уразливості в секюріті сайтах я вже писав в записі Безпека сайтів про безпеку.

Детальна інформація про уразливості з’явиться пізніше.

20.03.2007

XSS:

• alert(document.cookie)
• alert(document.cookie)
• alert(document.cookie)
• alert(document.cookie)

Дані уразливості вже виправлені.

В даній добірці уразливості в веб додатках:

• ActiveNews Manager SQL Injection Vulnerabilite (деталі)
• BLOG:CMS <= 4.1.3 XSS (деталі)
• Vikingboard (0.1.2) [ multiples vulnerability ] (деталі)
• Sage cross-context scripting -> LOCAL-CONTEXT SCRIPTING (деталі)
• A-Cart PRO SQL Injection (деталі)
• dev4u CMS - Multiple SQL Injection and Cross Site Scripting Issues (деталі)
• Multiple PHP remote file inclusion in Ay System Solutions CMS (деталі)
• PHP remote file inclusion vulnerability in Ay System Solutions CMS (деталі)
• PHP-інклюдинг в Mambo Remository (деталі)
• Обхід каталогу в IPCheck Server Monitor (деталі)

23.12.2006

У жовтні, 12.10.2006, я знайшов чимало Cross-Site Scripting уразливостей на популярному проекті http://locate.in.ua (ftp пошуковець). Про що найближчим часом сповіщу адміністрацію проекту.

Детальна інформація про уразливості з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

18.03.2007

XSS:

• alert(document.cookie)
• alert(document.cookie)
• alert(document.cookie)
• alert(document.cookie)
• alert(document.cookie)
• alert(document.cookie)
• alert(document.cookie)
• цікавий
• html включення

Дані уразливості досі не виправлені.