Websecurity - Веб безпека

В даній добірці уразливості в веб додатках:

• mtg_myhomepage Component For Mambo R.F.I (деталі)
• Barracuda Vulnerability: Arbitrary File Disclosure (деталі)
• Barracuda Vulnerability: Hardcoded Password (деталі)
• faille include in “VeriTECH” isreal (деталі)
• BlackBoard Multiple Vulnerabilities (XSS) (деталі)
• PHProjekt v0.6.1 Remote File Inclusion Vulnerability (2) (деталі)
• PHlyMail Lite [PM_[path][lib]=] Remote File Include Vulnerability (деталі)
• Tons of SQL-injections and XSS in Eichhorn Portal and vendor page (деталі)
• DieselPay I.ndex.php Cross-Site Scripting Vulnerability (деталі)
• indexcity SQL Injection and XSS Vulnerabilities (деталі)

Як я давно планував розповісти, в Invision Power Board 2.1.6 (і попередніх версіях 2.1.x) знайдена уразливість, котра може бути використана для SQL Injection атаки.

• Invision Power Board 2.1 <= 2.1.6 sql injection (деталі)

Рекомендую оновити ваш IPB до останної версії Invision Power Board 2.1.7.

В даній добірці уразливості в веб додатках:

• Mambo CatalogShop Remote File Inclusion (деталі)
• Ako Comments (mod) Remote File Inclusion (деталі)
• Joomla MamboWiki Component <= 0.9.4 (MamboLogin.php) Remote File Inclusion Vulnerability (деталі)
• Joomla Kochsuite Component <= 0.9.4 (config.kochsuite.php) Remote File Inclusion Vulnerability (деталі)
• anjel Mambo Component Remote File Include (деталі)
• Joomla Rssxt <= 1.0 Remote File Include Vulnerability (деталі)
• Joomla x-shop <= 1.7 Remote File Include Vulnerability (деталі)
• Barracuda Arbitrary File Disclosure + Command Execution (деталі)
• Barracuda Spam Firewall: Administrator Level Remote Command Execution (деталі)
• sNews 1.4 Cross-site scripting (XSS) vulnerability (деталі)

24.08.2006

На початку місяця, як раз перед тим, як знайшов нові уразливості на www.cnews.ru, я знайшов чимало Cross-Site Scripting уразливостей на веб проектах холдінга РБК: http://www.rbc.ru, http://www.rbc.ua та http://www.quote.ru. Про що найближчим часом сповіщу адміністрацію проекту.

Детальна інформація про уразливість з’явиться пізніше.

31.08.2006

XSS:

• alert(document.cookie) (rbc.ru)
• alert(document.cookie) (quote.ru)
• alert(document.cookie) (rbc.ua)
• alert(document.cookie) (rbc.ua)
• alert(document.cookie) (rbc.ua)
• alert(document.cookie) (rbc.ua)

Уразливості досі не виправлені.

В даній добірці уразливості в веб додатках:

• OneOrZero Helpdesk V1.6.4.1 susceptible to SQL injection and XSS (деталі)
• Multiple xxs cPanel 10 (деталі)
• mambo-phphop Product Scroller Module R.F.I (деталі)
• Mambo jim Component Remote Include Vulnerability (деталі)
• contentpublisher Mambo Component Remote File Include Vulnerabilities (деталі)
• Mambo mambelfish Component <= 1.1 Remote File Include Vulnerability (деталі)
• Mambo com_cropimage 1.0 Component Remote Include Vulnerability (деталі)
• Joomla RFI. ( ERNE ) (деталі)
• Joomla poll component vulnerability (деталі)
• Newsadmin SQL Injection Vulnerability (деталі)

В даній добірці уразливості в веб додатках:

• PHlyMail Lite “_PM_[path][handler]” File Inclusion Vulnerability (деталі)
• NES Game & NES System “phphtmllib” File Inclusion (деталі)
• SportsPHool “mainnav” File Inclusion Vulnerability (деталі)
• cPanel Multiple Cross-Site Scripting Vulnerabilities (деталі)
• WoltLab Burning Board 2.3.5(WBB) in XSS (деталі)
• LBlog <= "comments.asp" SQL Injection Exploit (деталі)
• Spaw Editor Remote Include Vulnerability (деталі)
• Modification For OpenSEF Remote file Inclusion (деталі)
• Sonium Enterprise Adressbook Version 0.2 (folder) RFI (деталі)
• PHP Forge 3 Beta 2 remote file inclusion vulnerability (деталі)

20.08.2006

На початку місяця, 02.08.2006, знайшов Cross-Site Scripting уразливості в CMS WebDirector (на сайті системи http://www.webdirector.ru). Про що найближчим часом сповіщу розробників CMS та адміністрацію сайту.

Детальна інформація про уразливість з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

29.08.2006

XSS:

• alert(document.cookie)
• alert(document.cookie)
• цікавий

Уразливості досі не виправлені. Усім користувачам CMS WebDirector потрібно або самім виправити дані уразливості в CMS, або звернутися до виробника, щоб вони виправили уразливості і випустили оновлену версію своєї системи.

В даній добірці уразливості в веб додатках:

• Mambo Component - EstateAgent Remote File Inclusion (деталі)
• Mambo Component - Display MOSBot Manager Remote File Inclusion Vuln (деталі)
• Mambo Component - Display MOSBot Manager Remote File Inclusion Vuln (деталі)
• Tutti Nova “TNLIB_DIR” File Inclusion Vulnerabilities (деталі)
• Fantastic News “CONFIG[script_path]” File Inclusion Vulnerability (деталі)
• Mambo bigAPE-Backup Component File Inclusion Vulnerability (деталі)
• WebAdmin Account Manipulation and Arbitrary File Disclosure (деталі)
• phpCodeGenie “BEAUT_PATH” File Inclusion Vulnerability (деталі)
• LBlog “id” SQL Injection Vulnerability (деталі)
• Міжсайтовий скриптінг в Dokeos (деталі)

Знайдена Cross-Site Scripting уразливість на сайті Агентства Національної Безпеки США (National Security Agency) http://www.nsa.gov. Про що вже сповістив адміністрацію веб сайту.

XSS:

• alert (тільки IE)
• alert(document.cookie) (тільки IE)
• моя лінка на сайті
• цікавий

NSA потрібно приділяти увагу безпеці власного сайту

В даній добірці уразливості в веб додатках:

• Drupal E-commerce Module Script Insertion Vulnerabilities (деталі)
• Drupal Easylinks Module Script Insertion and SQL Injection (деталі)
• Empire CMS “check_path” File Inclusion Vulnerability (деталі)
• TikiWiki “highlight” Cross-Site Scripting Vulnerability (деталі)
• indexcity SQL Injection and Script Insertion Vulnerabilities (деталі)
• Doika Guestbook “page” Script Insertion Vulnerability (деталі)
• Links Manager SQL Injection and Script Insertion Vulnerabilites (деталі)
• Dolphin “dir[inc]” File Inclusion Vulnerability (деталі)
• ToendaCMS <= 1.0.3 -(tcms_administer_site) Remote File Include (деталі)
• Doika guestbook ‘page’ XSS Vulnerability (деталі)