Websecurity - Веб безпека

В даній добірці уразливості в веб додатках:

• NuStore 1.0 (Products.asp) Remote SQL Injection Vulnerability (деталі)
• NuRems 1.0 Remote XSS/SQL Injection Exploit (деталі)
• UStore 1.0 (detail.asp) Remote SQL Injection Vulnerability (деталі)
• Mega Mall [ multiples injection sql & full path disclosure ] (деталі)
• MyStats <=1.0.8 [injection sql, multiples xss, array & full path disclosure] (деталі)
• TOPSTORY BASIC Version 1.0 => Remote File Include Vulnerability (деталі)
• ShopSystems - SQL Injection Issue (деталі)
• Multiple SQL injection vulnerabilities in Guder und Koch Netzwerktechnik Eichhorn Portal (деталі)
• Vulnerability in Webmin before 1.290 and Usermin before 1.220 (деталі)
• Міжсайтовий скриптінг в Diesel Paid Mail (деталі)

05.12.2006

У жовтні, 01.10.2006, я знайшов Cross-Site Scripting уразливість на проекті http://www.uaportal.com - відомому порталі Уанету. Про що найближчим часом сповіщу адміністрацію проекту.

Раніше я вже писав про інші знайдені уразливості на uaportal.com.

Детальна інформація про уразливість з’явиться пізніше.

27.02.2007

XSS:

• alert(document.cookie)
• цікавий
• html включення

Дана уразливість досі не виправлена.

В даній добірці уразливості в веб додатках:

• Asp Scripter Products (cpLogin.asp) Remote SQL ByPass Injection Vulnerability (деталі)
• UltraSite 1.0 (update.asp) Remote SQL Injection Vulnerability (деталі)
• ELOG Web Logbook Remote Denial of Service Vulnerability (деталі)
• Phpdebug 1.1.0 - Remote File Include by Firewall (деталі)
• Phpjobscheduler 3.0 - Multiple Remote File Include (деталі)
• Aigaion Web Interface remote file inclusion (деталі)
• infinicart [ multiples injection sql & xss (post) ] (деталі)
• Міжсайтовий скриптінг в TikiWiki (деталі)
• Vulnerability in NSS Affects Sun Java System Web Server and Sun ONE Application Server (деталі)
• Multiple XSS vulnerabilities in Guder und Koch Netzwerktechnik Eichhorn Portal (деталі)

02.10.2006

Вчора я як раз зайшов на ain.com.ua почитати новини. І в одній з них згадувався сайт http://www.prorobotu.net.ua, на який я заглянув, щоб подивитися, що він з себе представляє, раз про нього в новинах пишуть (це був лише банальний PR).

Так ось, зайшов я на на www.prorobotu.net.ua і одразу ж знайшов Cross-Site Scripting уразливість. Про що найближчим часом сповіщу адміністрацію проекту.

Даний випадок наводить на відповідні думки. Я вже писав про інші уразливі сайти про роботу (і ще згадаю в новинах про чимало подібних сайтів). Зокрема уразливості на job.itua.info та на job.ws. Власникам подібних сайтів потрібно зайти на свій же сайт і пошукати собі (на роботу) спеціалістів з веб безпеки (або якщо не вийде знайти - то скористатися сайтами конкурентів). Здавалася б для власників сайтів про роботу, не має бути проблем знайти собі необхідних фахівців.

Детальна інформація про уразливості з’явиться пізніше.

24.02.2007

XSS:

• alert(document.cookie)

Уразливість вже виправлена.

В даній добірці уразливості в веб додатках:

• StoryStream 4.0 (baseDir) Remote File Include Vulnerabilities (деталі)
• DirectAdmin Multiple Cross Site Scription (деталі)
• Estate Agent Manager <= v1.3 (default.asp) Remote Login ByPass SQL Injection Vulnerability (деталі)
• UPublisher 1.0 (viewarticle.asp) Remote SQL Injection Vulnerability (деталі)
• Property Pro v1.0 (vir_Login.asp) Remote Login ByPass SQL Injection Vulnerability (деталі)
• CPanel Multiple Cross Site Scription (деталі)
• Asp Scripter Products (cpLogin.asp) Remote SQL ByPass Injection Vulnerability (деталі)
• PHP remote file inclusion vulnerability in pSlash 0.70 (деталі)
• PHP remote file inclusion in the Contacts XTD component for Mambo (деталі)
• Міжсайтовий скриптінг в WoltLab Burning Board (деталі)

03.12.2006

У вересні, 30.09.2006, я знайшов Cross-Site Scripting уразливість на сайті http://europe.nokia.com (регіональний портал Нокіа). Про що найближчим часом сповіщу адміністрацію сайту.

Детальна інформація про уразливість з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

22.02.2007

XSS:

• alert(document.cookie)
• цікавий
• html включення

Дана уразливість досі не виправлена (ось така Nokia).

В даній добірці уразливості в веб додатках:

• Netquery “User-Agent” HTTP Header Script Insertion (деталі)
• Phppeanuts 1.1 Remote File Include (деталі)
• ContentNow Directory Traversal(upload.php) (деталі)
• Vallheru mail.php SQL Injection Vulnerabilities (деталі)
• StoryStream 4.0 (baseDir) Remote File Include Vulnerabilities (деталі)
• New Bug MiniBB Forum <= 2 Remote File Include (index.php) (деталі)
• Multiple directory traversal vulnerabilities in Alt-N WebAdmin (деталі)
• Міжсайтовий скриптінг в Drupal E-commerce (деталі)
• PHP remote file inclusion in the Lurm Constructor component for Mambo (деталі)
• Міжсайтовий скриптінг в BlackBoard Learning System (деталі)

02.12.2006

У вересні, 29.09.2006, я знайшов Cross-Site Scripting уразливість на проекті http://www.reporter.com.ua (онлайн ЗМІ). Про що найближчим часом сповіщу адміністрацію проекту.

Детальна інформація про уразливість з’явиться пізніше.

20.02.2007

XSS:

• alert(document.cookie)

Уразливість вже виправлена. Бажано лише було мені повідомити про це.

В даній добірці уразливості в веб додатках:

• fvwm: fvwm-menu-directory fvwm command injection (деталі)
• SiteXpress SQL Injection (деталі)
• ImageMagick: PALM and DCM buffer overflows (деталі)
• Dotdeb PHP Email Header Injection Vulnerability (деталі)
• ASPintranet SQL Injection (деталі)
• Ampache Unauthorized Guest Access (деталі)
• ContentNow Directory Traversal(upload.php) (деталі)
• Міжсайтовий скриптінг та SQL-ін’єкція в Drupal Easylinks (деталі)
• XMB <= 1.9.6 (u2uid) Remote SQL Injection Exploit (mq=off) (деталі)
• Vulnerability in Alt-N WebAdmin 3.2.3 and 3.2.4 (деталі)

01.12.2006

У вересні, 28.09.2006, я знайшов Cross-Site Scripting уразливість на проекті http://cxid.info (онлайн ЗМІ). Про що найближчим часом сповіщу адміністрацію проекту.

Детальна інформація про уразливість з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

18.02.2007

XSS:

• alert(document.cookie)
• цікавий
• html включення

Дані уразливості досі не виправлені.