Архів для категорії 'Уразливості'

« Попередні записи
Наступні записи »

Уразливості на www.securit.ru

18:05 11.01.2007

07.11.2006

У вересні, 15.09.2006, я знайшов декілька Cross-Site Scripting уразливостей на http://www.securit.ru - сайті секюріті компанії. Про що найближчим часом сповіщу адміністрацію сайту.

Детальна інформація про уразливості з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

Секюріті компаніям варто слідкувати за безпекою власних сайтів.

11.01.2007

XSS:

І ще 5 інших уразливостей в цьому самому скрипті. Дані уразливості вже виправлені.

Опубліковано в Уразливості | Без Коментарів »

Добірка уразливостей

18:16 10.01.2007

В даній добірці уразливості в веб додатках:

  • ProgSys verion 0.151 XSS vulnerability (деталі)
  • Application orders Linux in WebAPP v0.9.9.2.1 (деталі)
  • Multiple HTTP response splitting vulnerabilities in SHOP-SCRIPT (деталі)
  • PHP Nuke <= 7.9 SQL Injection and Bypass SQL Injection Protection vulnerabilities (деталі)
  • AROUNDMe 0.6.9 remonte file inclusion (деталі)
  • WHM 10.8.0 cPanel 10.9.0 R50 CentOS 4.4 i686 WHM X v3.1.0 Xss Vulnerability (деталі)
  • XSS in Zwahlen Online Shop (деталі)
  • Multiple XSS vulnerabilities in Archangel Management Archangel Weblog 0.90.02 (деталі)
  • Cross-site scripting vulnerability in mojoscripts.com mojoGallery (деталі)
  • PHP-інклюдинг в Article System (деталі)

Опубліковано в Уразливості | Без Коментарів »

Уразливість на www.books.ru

16:32 09.01.2007

13.11.2006

У вересні, 18.09.2006, я знайшов Cross-Site Scripting уразливість на популярному проекті http://www.books.ru. Про що найближчим часом сповіщу адміністрацію проекту.

Детальна інформація про уразливість з’явиться пізніше.

09.01.2007

XSS:

Уразливість вже виправлена. Бажано лише було мені повідомити про це.

Опубліковано в Уразливості | Без Коментарів »

Добірка уразливостей

15:04 07.01.2007

В даній добірці уразливості в веб додатках:

  • Mambo component remote inclusion vulneribility (деталі)
  • com_videodb Mambo Componenet <= 0.3en Remote Include Vulnerability (деталі)
  • Another Mambo module remote inclusion vulneribility (деталі)
  • PHP Generator of Object SQL Database (path) Remote File Include Vulnerability (деталі)
  • PacPoll <= 4.0 Multiple Vulnerabilities (деталі)
  • CruiseWorks Directory Traversal and Buffer Overflow Vulnerabilities (деталі)
  • WikiNi Multiple Cross Site Scripting Vulnerabilities (деталі)
  • Multiple cross-site scripting vulnerabilities in CivicSpace 0.8.5 (деталі)
  • PHP-інклюдинг в SAPID CMS (деталі)
  • PHP-інклюдинг в phpFaber CMS (деталі)

Опубліковано в Уразливості | Без Коментарів »

Уразливість на www.foia.cia.gov

22:20 06.01.2007

Продовжу тему уразливостей на сайтах спецслужб (в даному випадку спецслужб США). Як раз перед Різдвом пропоную вашій увазі уразливість на сайті ЦРУ :-) .

До раніше згаданих дір на сайтах ФБР (FBI) і АНБ (NSA), додам Cross-Site Scripting уразливість на сайті ЦРУ (CIA) - сайті Центрального Развідувального Управління США (Central Intelligence Agency) www.cia.gov, і зокрема на сайті його інформаційного відділу www.foia.cia.gov.

XSS:

Уразливість знаходиться в pdf-файлі, і вона являє собою універсальну XSS в PDF уразливість (про даний тип XSS я буду окремо розповідати).

Повідомляти адмінам ЦРУ я не стану - враховуючи що адміни сайтів спецслужб США не реагують на мої повідомлення і не виправляють уразливості най своїх сайтах. Нехай самі слідкують за власним сайтом і проводять секюріті аудити (а також слідкують за інформацією на моєму сайті). Бо дана уразливість доволі небезпечна, і чимало користувачів сайта можуть від неї постраждати (це відноситься як до сайту ЦРУ, так і до усіх інших сайтів, вразливих до цієї уразливості - ще додатково розповім про даний тип XSS атак).

Опубліковано в Новини сайту, Уразливості | 2 Коментарів »

Нові уразливості на meta.ua

17:35 06.01.2007

16.10.2006

До раніше згадуваних уразливостей на meta.ua (Уразливості на meta.ua та Уразливість на lib.meta.ua), додам про нові уразливості на проектах пошукової системи МЕТА. Зокрема на проектах http://rabota.meta.ua та http://zakon.meta.ua.

Деякий час тому, 08.10.2006, після дослідження сайту про пошук роботи (Уразливість на www.prorobotu.net.ua), які періодично попадають в моє поле зору, я зайшов на ще один подібний сайт, на цей раз на Меті, і знайшов декілька Cross-Site Scripting уразливостей на rabota.meta.ua. А 12.10.2006, досліджуючи Безпеку сайту Верховної Ради України, знайшов уразливість на zakon.meta.ua. Про що найближчим часом сповіщу адміністрацію Мети.

Детальна інформація про уразливості з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

29.12.2006

XSS:

zakon.meta.ua

Уразливість вже виправлена.

06.01.2007

XSS:

rabota.meta.ua

Дані уразливості досі не виправлені.

На жаль Мета виправляє помилки вібірково - частину виправляє, частину ні (при тому, що нові діри, про які писав нещодавно, вони вже виправили і повідомили мені про це, а от деякі зі старих дір досі так і не виправили).

Опубліковано в Уразливості | 2 Коментарів »

Добірка уразливостей

15:20 05.01.2007

В даній добірці уразливості в веб додатках:

  • YapBB <= 1.2 Beta2 (yapbb_session.php) Remote File Include Exploit (деталі)
  • PHP-Post <= 1.01 (template) Remote Code Execution Exploit (деталі)
  • PH Pexplorer <= 0.24 (Cookie/language.php) Remote Code Execution Exploit (деталі)
  • JaxUltraBB <= 2.0 (delete.php) Defaced Exploit (деталі)
  • trawler <= 1.8.1 Remote File Inclusion (деталі)
  • speedberg <= 1.2beta1 Remote File Inclusion (деталі)
  • Net_DNS: Remote File Inclusion by ToXiC CreW (деталі)
  • SQL-ін’єкція в XennoBB (деталі)
  • Multiple XSS vulnerabilities in Archangel Management Archangel Weblog 0.90.02 (деталі)
  • Cross-site scripting (XSS) vulnerability in Webligo BlogHoster 2.2 (деталі)

Опубліковано в Уразливості | Без Коментарів »

Уразливість на adamant.ua

18:10 04.01.2007

09.11.2006

У вересні, 17.09.2006, я знайшов Cross-Site Scripting уразливість на сайті http://adamant.ua. Про що найближчим часом сповіщу адміністрацію сайту.

Детальна інформація про уразливість з’явиться пізніше.

Я вже раніше писав про уразливість на іншому сайті компанії Адамант (Уразливість на inet.ua).

04.01.2007

XSS:

Дана уразливість досі не виправлена.

Опубліковано в Уразливості | 2 Коментарів »

Добірка уразливостей

17:03 03.01.2007

В даній добірці уразливості в веб додатках:

  • EPNadmin remote Command Execution Vulnerabilities (деталі)
  • CASTOR <= 1.1.1 Remote Command Execution Vulnerability (деталі)
  • RSSonate remote Command Execution Vulnerabilities (деталі)
  • RSSonate remote Command Execution Vulnerabilities (деталі)
  • EZ-Ticket v0.0.1 Remote File Inclusion Vulnerability (деталі)
  • PHP-Nuke <= 7.9 (Encyclopedia) Remote SQL Injection Exploit (деталі)
  • WSN Forum <= 1.3.4 (pathtoconfig) Remote File Include Exploit / Code Execution Vulnerability (деталі)
  • PHP remote file inclusion vulnerability in SAPID CMS (деталі)
  • SQL injection vulnerability in XennoBB 2.1.0 (деталі)
  • Читання довільних файлів в Easy File Sharing Web Server (деталі)

Опубліковано в Уразливості | Без Коментарів »

Уразливість на сайті Кабінета Міністрів України

21:43 30.12.2006

У жовтні, 13.10.2006, я знайшов Cross-Site Scripting уразливість на урядовому порталі http://www.kmu.gov.ua - сайті Кабінета Міністрів України. Про що найближчим часом сповіщу адміністрацію сайту.

Раніше я вже писав про мій аудит безпеки сайту Верховної Ради України. І тоді результати були невтішні. Ситуація з сайтом Кабміну не краща - також мають місце уразливості (про одну знайдену XSS я і повідомлю адміністраторів сайту).

Детальна інформація про уразливість не з’явиться (не планую публікувати). За для безпеки сайту нашого уряду, його працівників та відвідувачів.

Опубліковано в Новини сайту, Уразливості | 4 Коментарів »


« Попередні записи
Наступні записи »