Websecurity - Веб безпека

13.10.2006

В минулому місяці, 02.09.2006, я знайшов Cross-Site Scripting уразливість на популярному проекті http://www.mignews.com. Про що найближчим часом сповіщу адміністрацію проекту.

Детальна інформація про уразливість з’явиться пізніше.

08.11.2006

XSS:

• alert(document.cookie)

Уразливість вже виправлена. Адмінам www.mignews.com варто лише було мені повідомити про це.

Поки адміни виправили одну уразливість, на них чекає ще одна (яку я знайшов щойно).

В даній добірці уразливості в веб додатках:

• ConPresso CMS - Multiple Cross Site Scripting and SQL Injection Issues (деталі)
• Joomla gsg Component <= 1.0.4 Remote File Include Vulnerability (деталі)
• PHProjekt (Remote) Include Vulnerabilities (деталі)
• SAP Internet Transaction Server XSS vulnerability (деталі)
• Multitple XSS Vulnerabilities in Red Mombin 0.7 (деталі)
• Multiple XSS Vulnerabilities in Zen Cart 1.3.5 (деталі)
• phpBB XS 2 spain version (phpbb_root_path) Remote File Inclusion (деталі)
• MkPortal UrloBox Increment Zize Desfiguration (деталі)
• PHP-інклюдинг в Knusperleicht FileManager (деталі)
• Численні уразливості в Jetbox CMS (деталі)

11.10.2006

В минулому місяці, 02.09.2006, я знайшов Cross-Site Scripting уразливості на популярному секюріті проекті http://www.cybersecurity.ru. Про що найближчим часом сповіщу адміністрацію проекту.

Детальна інформація про уразливості з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

06.11.2006

XSS:

• alert(document.cookie)
• alert(document.cookie)

Уразливості вже виправлені. Лише адмінам cybersecurity.ru варто було мені повідомити про це (нерідко подібні випадки мають місце, коли власники сайтів взагалі не відповідають на мої листи).

В даній добірці уразливості в веб додатках:

• Tagmin C.C 2.1.B Remote File Include (деталі)
• PHP MyWebMin 1.0 Remote File Include (деталі)
• phpsecurepages (cfgProgDir) Remote File Include Vulnerability (деталі)
• PowerPortal Remote File Include (деталі)
• Sql injection in PostNuke [Admin section] (деталі)
• FacileForms Cross-Site Scripting Vulnerability (деталі)
• UBB.threads Multiple input validation error (деталі)
• Joomla BSQ Sitestats Component Multiple Vulnerabilities (деталі)
• PHP remote file inclusion vulnerability in The Search Engine Project (TSEP) (деталі)
• CzarNews XSS and Multiple SQL Injection Vulnerabilities (деталі)

27.09.2006

В минулому місяці, 27.08.2006, я знайшов Cross-Site Scripting уразливість на популярному проекті http://go.km.ru - пошуковій системі портала km.ru. Про що найближчим часом сповіщу адміністрацію проекту.

Детальна інформація про уразливість з’явиться пізніше.

04.11.2006

XSS:

• alert(document.cookie)
• цікавий
• html включення

Уразливість досі не виправлена.

В даній добірці уразливості в веб додатках:

• Comdev Web Blogger 3.1 <= Remote File Inclusion (деталі)
• Comdev Customer Helpdesk 3.1 <= Remote File Inclusion (деталі)
• Comdev Vote Caster 3.1 <= Remote File Inclusion (деталі)
• Comdev Contact Form 3.1 <= Remote File Inclusion (деталі)
• Comdev News Publisher 3.1 <= Remote File Inclusion (деталі)
• Comdev Photo Gallery 3.1 <= Remote File Inclusion (деталі)
• Comdev Links Directory 3.1 <= Remote File Inclusion (деталі)
• Comdev Events Calendar 3.1 <= Remote File Inclusion (деталі)
• lesvisit (visiteurs) <= v2.0 (lvc_include_dir) Remote File Include Vulnerability (деталі)
• SQL injection vulnerability in ATutor 1.5.3.1 (деталі)

10.10.2006

В минулому місяці, 01.09.2006, я знайшов Cross-Site Scripting уразливість на популярних проектах http://www.hint.ru та http://hint.com.ua. Про що найближчим часом сповіщу адміністрацію проектів.

Детальна інформація про уразливості з’явиться пізніше.

02.10.2006

XSS:

http://www.hint.ru

• alert(document.cookie)

http://hint.com.ua

• alert(document.cookie)

Уразливості вже виправлені, про що мені повідомив адміністратор проектів.

07.10.2006

Наприцінці серпня, 31.08.2006, я знайшов декілька уразливостей на популярному проекті http://www.adweb.iatp.org.ua (Cross-Site Scripting та Full path disclosure). Про що найближчим часом сповіщу адміністрацію проекту.

Детальна інформація про уразливості з’явиться пізніше.

01.11.2006

Уразливості в пошуковій програмі сайту. Як я вже писав (в записі Поширені уразливості в пошукових системах), це дуже поширене явище в інтернеті.

XSS:

• alert(document.cookie)
• цікавий
• html включення

Full path disclosure:

• розкриття шляху

Уразливості досі не виправлені.

В даній добірці уразливості в веб додатках:

• net2ftp: a web based FTP client <= Remote File Inclusion (деталі)
• MkPortal Cross Site Scripting (All versions) xSS (деталі)
• PHPSelect Web Development Division <= Remote File Inclusion (деталі)
• Comdev Newsletter 3.1 <= Remote File Inclusion (деталі)
• Comdev FAQ Support 3.1 <= Remote File Inclusion (деталі)
• Comdev Guestbook 3.1 <= Remote File Inclusion (деталі)
• Comdev eCommerce 3.1 <= Remote File Inclusion (деталі)
• Comdev CSV Importer 3.1 <= Remote File Inclusion (деталі)
• PHP-інклюдинг в TSEP (деталі)
• Cross-site scripting (XSS) vulnerability in Ajax Chat (деталі)

06.10.2006

Наприцінці серпня, 31.08.2006, я знайшов декілька Cross-Site Scripting уразливостей на відомому проекті http://www.abn-ad.com (банерна система). Про що найближчим часом сповіщу адміністрацію проекту.

Детальна інформація про уразливості з’явиться пізніше.

31.10.2006

XSS:

• alert(document.cookie)
• alert(document.cookie)
• alert(document.cookie)

Дані уразливості вже виправлені.