Архів для категорії 'Уразливості'

« Попередні записи
Наступні записи »

Уразливості на bezpeka.com

16:40 25.11.2006

24.10.2006

В минулому місяці, 05.09.2006, я знайшов Cross-Site Scripting уразливості на популярному секюріті проекті http://bezpeka.com. Про що найближчим часом сповіщу адміністрацію проекту.

Детальна інформація про уразливості з’явиться пізніше.

25.11.2006

XSS:

На сторінці http://bezpeka.com/ru/search/ при відправлені POST запиту (в поле “Найти”):
"><script>alert(document.cookie)</script>

На сторінці http://bezpeka.com/en/search/ при відправлені POST запиту (в поле “Find”):
"><script>alert(document.cookie)</script>

Уразливості вже виправлені.

Опубліковано в Уразливості | Без Коментарів »

Уразливість на www.fbi.gov

22:39 24.11.2006

24.11.2006

Силовим структурам США варто серйозно слідкувати за безпекою власних сайтів. Раніше я вже згадував про уразливість на www.nsa.gov. На цей раз повідомляю про Cross-Site Scripting уразливість на сайті FBI (Federal Bureau of Investigation) :-) .

Уразливість в редиректорі на сайті ФБР. І адмінам сайту потрібно буде зайнятися цією уразливістю і в подальшому приділяти більше уваги безпеці власного сайту.

XSS:

Повідомляти адмінам ФБР не стану - нехай самі слідкують за власним сайтом (особливо враховуючи, що адміни NSA так і не відреагували до сих пір). І також можуть мій сайт почитати, де завжди знайдуть цікаву інформацію, щодо уразливостей на їхньому власному сайті.

27.04.2010

Як я сьогодні вияснив, ФБР виправило XSS уразливість (при цьому редиректор залишився). Але виправило уразливісь неповністю і, при невеликій зміні коду, вона знову працює.

XSS:

Опубліковано в Новини сайту, Уразливості | Без Коментарів »

Добірка уразливостей

14:22 24.11.2006

В даній добірці уразливості в веб додатках:

  • PacSec Hype Security Team: CGI.pm param injection (деталі)
  • blueshoes <= 4.6_public Remote File Inclusion (деталі)
  • claroline <= 180rc1 Remote File Inclusion (деталі)
  • tagit2b — Remote File Inclusion (деталі)
  • PHPLibrary <= 1.5.3 Remote File Inclusion (деталі)
  • Eazy Cart Multiple Security Issues (деталі)
  • eXpBlog <= 0.3.5 Cross Site Scripting Vulnerabilities (деталі)
  • vtiger CRM <=4.2 (calpath) Multiple Remote File Inclusion Vulnerability (деталі)
  • XMB <= 1.9.6 (u2uid) Remote SQL Injection Exploit (деталі)
  • PHP remote file inclusion vulnerability in Knusperleicht newsReporter 1.1 (деталі)

Опубліковано в Уразливості | Без Коментарів »

Уразливість на www.film.ru

19:30 23.11.2006

30.10.2006

В минулому місяці, 10.09.2006, я знайшов Cross-Site Scripting уразливість на популярному проекті http://www.film.ru. Про що найближчим часом сповіщу адміністрацію проекту.

Детальна інформація про уразливість з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

23.11.2006

XSS:

Уразливість вже виправлена. Про що деякий час тому мені повідомив адміністратор проекту.

Опубліковано в Уразливості | Без Коментарів »

День Свободи та уразливості на maidan.org.ua

22:23 22.11.2006

Спочатку, враховуючи сьогодняшню дату, вітаю вас з Днем Свободи! 22.11.2006 - це друга річниця початку Помаранчевої Революції. Мої вітання всім українцям.

Ну, а тепер щодо уразливостей ;-)

Сьогодні вночі, як раз коли ще новий день тільки починався, завітав я на деякі політичні сайти. І зокрема на http://maidan.org.ua - де і знайшов чимало уразливостей. Зокрема Cross-Site Scripting, SQL DB Structure Extraction та Full path disclosure уразливості. Про що найближчим часом сповіщу адміністрацію проекту.

Детальна інформація про уразливості з’явиться пізніше.

Політичним сайтам варто слідкувати за власною безпекою, як я вже зазначав у випадку безпеки сайту Верховної Ради України. І ще планую не раз згадати про політичні й урядові сайти.

Детальна інформація.

XSS:

SQL DB Structure Extraction:

http://maidan.org.ua/news/search.php3?site=maidan&bn=maidan_news&gosearch=1&sf=1&pattern=xxxxxxxxxx

XSS:

Full path disclosure:

http://maidan.org.ua/static/lysty.php?key=-1102352364

XSS:

Виправлена лише частина уразливостей, а останні 5 уразливостей досі не виправлені.

Опубліковано в Новини сайту, Уразливості | 2 Коментарів »

Добірка уразливостей

14:04 22.11.2006

В даній добірці уразливості в веб додатках:

  • OpenDock Easy Blog <=1.4 (doc_directory) Multiple Remote File Inclusion Vulnerability (деталі)
  • PHPMyNews 1.4 <= (cfg_include_dir) Remote File Include Vulnerability (деталі)
  • docmint <= 2.0 (MY_ENV[BASE_ENGINE_LOC]) Remote File Inclusion Vulnerability (деталі)
  • Advanced Poll v2.02 :) <= Remote File Inclusion (деталі)
  • The latest version of iSearch is V2.16 <= (index.php) Remote File Inclusion Exploit (деталі)
  • Directory Traversal Vulnerability in Goop Gallery 2.0.2 (деталі)
  • eXpBlog <= 0.3.5 Cross Site Scripting Vulnerabilities (деталі)
  • Eazy Cart Multiple Security Issues (деталі)
  • Виконання довільного кода в Fenestrae Faxination Server (деталі)
  • PHP-інклюдинг в P-Book (деталі)

Опубліковано в Уразливості | Без Коментарів »

Уразливості на www.link.ru

17:25 21.11.2006

25.10.2006

В минулому місяці, 06.09.2006, я знайшов декілька Cross-Site Scripting уразливостей на відомому проекті http://www.link.ru (веб брокер). Про що найближчим часом сповіщу адміністрацію проекту.

На сайтах веб брокерів я регулярно знахожу уразливості. Про що я неодноразово згадував і ще згадаю в подальшому.

Детальна інформація про уразливості з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

21.10.2006

XSS:

Дані уразливості досі не виправлені. Адміни рекламного брокера досі не відреагували і не виправили вказані XSS уразливості.

Опубліковано в Уразливості | Без Коментарів »

Добірка уразливостей

16:50 19.11.2006

В даній добірці уразливості в веб додатках:

  • OpenDock Easy Gallery <=1.4 (doc_directory) Multiple Remote File Inclusion Vulnerability (деталі)
  • SQL injection - moodle (деталі)
  • SQL injection - 4images (деталі)
  • Freenews v1.1 <= (chemin) Remote File Include Vulnerability (деталі)
  • XSS IN paFileDB 3.1 (деталі)
  • phpWebSite 0.10.2 Remote File Include Vulnerabilities (деталі)
  • WebYep <= 1.1.9 (webyep_sIncludePath) Multiple Remote File Inclusion Vulnerability (деталі)
  • OpenDock Easy Doc <=1.4 (doc_directory) Multiple Remote File Inclusion Vulnerability (деталі)
  • Multiple PHP remote file inclusion vulnerabilities in Savant2 (деталі)
  • SQL-ін’єкція в XMB (деталі)

Опубліковано в Уразливості | Без Коментарів »

Уразливість на www.ukraine-today.net

22:35 17.11.2006

23.10.2006

В минулому місяці, 05.09.2006, я знайшов Cross-Site Scripting уразливість на популярному проекті http://www.ukraine-today.net. Про що найближчим часом сповіщу адміністрацію проекту.

Детальна інформація про уразливість з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

17.11.2006

XSS:

Уразливість досі не виправлена.

Опубліковано в Уразливості | Без Коментарів »

Уразливості на www.singless.info

19:45 16.11.2006

22.10.2006

В минулому місяці, 04.09.2006, я знайшов чимало Cross-Site Scripting уразливостей на популярному проекті http://www.singless.info. Про що найближчим часом сповіщу адміністрацію проекту.

Детальна інформація про уразливості з’явиться пізніше.

16.11.2006

XSS:

А також 12 інших XSS уразливостей в програмі пошуку (search.htm.php).

Усі уразливості вже виправлені. Адмінам www.singless.info варто лише було мені повідомити про це.

Опубліковано в Уразливості | Без Коментарів »


« Попередні записи
Наступні записи »