Websecurity - Веб безпека

Продовжуючи тему уразливих президентських сайтів, після публікації новини про Уразливість на сайті Президента Білорусії, анонсую нового номінанта.

Сьогодні я знайшов Cross-Site Scripting уразливість (UXSS в PDF) на http://www.prezident.sk - сайті Президента Словацької республіки. Адмінам сайта www.prezident.sk я вже вислав інформацію про дану уразливість. Так що вони зможуть проаналізувати ситуацію і при бажанні виправити уразливість.

XSS:

• alert(document.cookie)
• alert(’XSS’)
• цікавий

На сайті п’ятого номінанта також не одна подібна UXSS уразливість. Всьго знайшов дві pdf-ки на сайті Президента Словакії, плюс три лінки на pdf-ки на одному урядовому сайті (але потенційно на сайті ще можуть бути подібні діри).

P.S.

Це п’ятий приклад з серії уразливих президентських сайтів. На даний час я припиняю цю президентську фієсту, сподіваюся і відвідувачі мого сайту і самі президенти (та адміни їх сайтів) зрозуміли, що за безпекою треба слідкувати.

Може ще з часом повернуся до цієї теми, а зараз продовжу свою роботу в звичному режимі - буду публікувати інформацію про діри на тих сайтах, які відвідую (а також планую розповісти про діри на сайтах спецслужб - щоб вони не розслаблялися , на додаток до вже опублікованої інформації про діри на сайтах спецслужб США).

В даній добірці уразливості в веб додатках:

• blueshoes filemanager Remote File Include Vunerability (деталі)
• phptreeview Remote File Include (деталі)
• Bcwb 2.5 Multiple Remote File Include (деталі)
• opendocman <= 1.2p3 Bypass admin/user Login (деталі)
• QnECMS <= 2.5.6 (adminfolderpath) Remote File Inclusion Vulnerability (деталі)
• Punbb <= 1.2.13 Multiple Vulnerabilities (деталі)
• Nucleus Core v3.23 - Remote File Include (деталі)
• PHP remote file inclusion vulnerability in AkoComment 1.1 module for Mambo 4.5 (деталі)
• PHP remote file inclusion vulnerability in ANJEL Component for Mambo (деталі)
• Міжсайтовий скриптінг та SQL-ін’єкція в BestWebApp (деталі)

15.11.2006

У вересні, 19.09.2006, я знайшов Cross-Site Scripting уразливість на популярному проекті http://www.liga.net. Про що найближчим часом сповіщу адміністрацію проекту.

Детальна інформація про уразливість з’явиться пізніше.

18.01.2007

XSS:

• alert(document.cookie)
• цікавий
• html включення

Дана уразливість досі не виправлена.

Продовжуючи тему уразливих президентських сайтів, після публікації новини про Уразливість на сайті Президента США, анонсую нового номінанта.

Декілька днів тому, 13.01.2007, я знайшов Cross-Site Scripting уразливість (UXSS в PDF) на http://www.president.gov.by - сайті Президента Республіки Білорусь. Адмінам сайта www.president.gov.by я вже вислав інформацію про дану уразливість. Так що вони зможуть проаналізувати ситуацію і при бажанні виправити уразливість.

XSS:

• alert(document.cookie)
• alert(’XSS’)
• цікавий

На сайті четвертого номінанта не одна подібна діра, а набагато більше. Всього на сайті Президента Білорусії до 41 подібних UXSS уразливостей!

P.S.

Це четвертий приклад з серії уразливих президентських сайтів. Чекайте на продовження президентської фієсти.

В даній добірці уразливості в веб додатках:

• ezOnlineGallery Multiple Security Issues (деталі)
• New thttpd packages fix insecure temporary file creation (деталі)
• P-Book <= 1.17 (pb_lang) Remote File Inclusion (деталі)
• HITWEB Remote File Include (деталі)
• Clanlite Remote File Include (деталі)
• jamroom Remote File Include (деталі)
• jamroom Remote File Include Vunerability (деталі)
• Міжсайтовий скриптінг в Simplog (деталі)
• SQL-ін’єкція в YenerTurk Haber Script (деталі)
• Міжсайтовий скриптінг в MyBB (деталі)

10.11.2006

У вересні, 17.09.2006, я знайшов Cross-Site Scripting уразливість на https://card.cyberplat.ru - сайті відомої електронної платіжної системи. Про що найближчим часом сповіщу адміністрацію сайту.

Детальна інформація про уразливість з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

Електронним платіжним системам варто слідкувати за безпекою своїх сайтів. Я вже згадув про уразливість на Paypal. І чим популярнішою є платіжна система, тим більше уваги слід приділяти власній безпеці.

16.01.2007

XSS:

• alert(document.cookie)

Дана уразливість вже виправлена.

Продовжуючи тему уразливих президентських сайтів, після публікації новини про Уразливість на сайті Президента Росії, анонсую нового номінанта.

Декілька днів тому, 08.01.2007, я знайшов Cross-Site Scripting уразливість (UXSS в PDF) на White House http://www.whitehouse.gov - сайті Президента США. Адмінам сайта www.whitehouse.gov я вже вислав інформацію про дану уразливість. Так що вони зможуть проаналізувати ситуацію і при бажанні виправити уразливість.

XSS:

• alert(document.cookie)
• alert(’XSS’)
• цікавий

Причому на сайті третього номінанта не одна подібна діра, а набагато більше. Всього на сайті Президента США до 8730 подібних UXSS уразливостей!

P.S.

Це третій приклад з серії уразливих президентських сайтів. Спочатку я планував в своїй серії уразливих сайтів обмежитися трьома номінантами, але на прохання постійних користувачів мого сайта я продовжу дану серію . Так що через деякий час очікуйте на нових номінантів в цій президентській фієсті.

В даній добірці уразливості в веб додатках:

• Thepeak File Upload v1.3 : Read file vulneability (деталі)
• Hosting Controller 6.1 Hotfix <= 3.2 Vulnerability (деталі)
• phpAdsNew-2.0.8 <= (adlayer.php) Remote File Include (деталі)
• TextPattern <=1.19 Remote File Inclusion Vulnerability (деталі)
• UNISOR CMS sql injection (деталі)
• PHP-Nuke <= 7.9 Search module "author" SQL Injection vulnerability (деталі)
• MiniBILL v2006-10-10 (config[page_dir] Remote File Include Vulnerability (деталі)
• Переповнення буфера в SHTTPD (деталі)
• Cross-site scripting vulnerability in Novell GroupWise WebAccess 6.5 and 7 (деталі)
• PHP-інклюдинг в Php Giggle (деталі)

Продовжуючи тему уразливих президентських сайтів, після публікації новини про Уразливість на сайті Президента України, анонсую наступного номінанта.

Декілька днів тому, 08.01.2007, я знайшов Cross-Site Scripting уразливість (UXSS в PDF) на http://www.kremlin.ru - сайті Президента Росії. Адмінам сайта www.kremlin.ru я вже вислав інформацію про дану уразливість. Так що вони зможуть проаналізувати ситуацію і при бажанні виправити уразливість.

XSS:

• alert(document.cookie)
• alert(’XSS’)
• цікавий

P.S.

Це другий приклад з серії уразливих президентських сайтів. Вгадайте хто буде наступним , про сайт президента якої країни я напишу наступного разу.

12.11.2006

У вересні, 18.09.2006, я знайшов Cross-Site Scripting уразливість на https://www.iss.net - сайті відомої секюріті компанії Internet Security Systems. Про що найближчим часом сповіщу адміністрацію сайту.

Детальна інформація про уразливість з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

13.01.2007

XSS:

• alert(document.cookie)
• цікавий
• html включення

Дана уразливість досі не виправлена.

Ось можете і зробити висновок про їх власний сканер безпеки ISS Internet Scanner. І самі уразливість не знайшли (ні їх спеціалісти, ні їх сканер) і до моїх попереджень не прислухались - діра так і залишилась.

До речі, як я глянув на їх сайті (ще коли в вересні заходив), деякий час тому компанія IBM купила Internet Security Systems (нова назва компанії IBM Internet Security Systems). Тому ISS слід ще більше приділяти увагу безпеці власного сайту.