Websecurity - Веб безпека

В даній добірці уразливості в веб додатках:

• Mambo Component - EstateAgent Remote File Inclusion (деталі)
• Mambo Component - Display MOSBot Manager Remote File Inclusion Vuln (деталі)
• Mambo Component - Display MOSBot Manager Remote File Inclusion Vuln (деталі)
• Tutti Nova “TNLIB_DIR” File Inclusion Vulnerabilities (деталі)
• Fantastic News “CONFIG[script_path]” File Inclusion Vulnerability (деталі)
• Mambo bigAPE-Backup Component File Inclusion Vulnerability (деталі)
• WebAdmin Account Manipulation and Arbitrary File Disclosure (деталі)
• phpCodeGenie “BEAUT_PATH” File Inclusion Vulnerability (деталі)
• LBlog “id” SQL Injection Vulnerability (деталі)
• Міжсайтовий скриптінг в Dokeos (деталі)

Знайдена Cross-Site Scripting уразливість на сайті Агентства Національної Безпеки США (National Security Agency) http://www.nsa.gov. Про що вже сповістив адміністрацію веб сайту.

XSS:

• alert (тільки IE)
• alert(document.cookie) (тільки IE)
• моя лінка на сайті
• цікавий

NSA потрібно приділяти увагу безпеці власного сайту

В даній добірці уразливості в веб додатках:

• Drupal E-commerce Module Script Insertion Vulnerabilities (деталі)
• Drupal Easylinks Module Script Insertion and SQL Injection (деталі)
• Empire CMS “check_path” File Inclusion Vulnerability (деталі)
• TikiWiki “highlight” Cross-Site Scripting Vulnerability (деталі)
• indexcity SQL Injection and Script Insertion Vulnerabilities (деталі)
• Doika Guestbook “page” Script Insertion Vulnerability (деталі)
• Links Manager SQL Injection and Script Insertion Vulnerabilites (деталі)
• Dolphin “dir[inc]” File Inclusion Vulnerability (деталі)
• ToendaCMS <= 1.0.3 -(tcms_administer_site) Remote File Include (деталі)
• Doika guestbook ‘page’ XSS Vulnerability (деталі)

24.08.2006

На початку місяця, 05.08.2006, знайшов Cross-Site Scripting уразливості на популярному проекті http://www.cnews.ru (зокрема на http://games.cnews.ru). Про що вже сповістив адміністрацію проекту.

Детальна інформація про уразливість з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

Я вже раніше писав про попередню уразливість на www.cnews.ru. Окрім нових уразливостей на www.cnews.ru, я також знайшов чимало уразливостей на сайтах холдінгу РБК, підзрозділом якого і є cnews.ru.

27.08.2006

XSS:

• alert(document.cookie)
• alert(document.cookie)
• цікавий

Уразливості досі не виправлені.

В даній добірці уразливості в веб додатках:

• BlaBla 4U XSS Vulnerabilite (деталі)
• Virtual War v1.5.0 SQL injection and XSS (деталі)
• Peoplebook Mambo Component <= v1.0 Remote File Include Vulnerabilities (деталі)
• Joomla Webring Component (component_dir) Remote File Inclusion Vulnerabilities (деталі)
• powergap <= (s0x.php) Remote File Inclusion (деталі)
• CubeCart <= 3.0.11 SQL injection & cross site scripting (деталі)
• SQL-Injection in xoops myAds module (деталі)
• Cool Messenger Server SQL Injection Vulnerability (деталі)
• mail f/w system Mail Header Injection Vulnerability (деталі)
• Links Manager Multiple XSS and SQL Injection Vulnerabilities (деталі)

23.08.2006

На початку місяця, 06.08.2006, знайшов Cross-Site Scripting уразливість на популярному проекті http://www.itc.ua. Про що найближчим часом сповіщу адміністрацію проекту.

Детальна інформація про уразливість з’явиться пізніше.

26.08.2006

XSS:

• alert(document.cookie)

P.S.

Адміни itc.ua вже пофіксили (оперативно) дану уразливість, але на них чекає ще три, знайдені мною нещодавно

15.08.2006

На початку місяця, 02.08.2006, знайшов Cross-Site Scripting уразливість на популярному проекті http://www.habrahabr.ru. Про що найближчим часом сповіщу адміністрацію проекту.

Детальна інформація про уразливість з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

25.08.2006

XSS:

• alert(document.cookie)
• цікавий

Уразливість досі не виправлена.

В даній добірці уразливості в веб додатках:

• Startpage <= 1.0 (cfgLanguage) Remote File Inclusion Vulnerability (деталі)
• WEBInsta Mailing list manager (cabsolute_path) 1.3e RFI (деталі)
• wheatblog Session.php Remote File Inclusion (деталі)
• VWar <= 1.50 R14 (n) Remote SQL Injection (деталі)
• Calendarix <= 0.7 (calpath) Remote File Inclusion Vulnerability (деталі)
• myEvent <= 1.4 Multiple Remote File Include Vulnerabilities (деталі)
• Forum Software ASPPlayground.NET Advanced Edition 2.4.5 Unicode Xss (деталі)
• WEBinsta CMS 0.3.1 (templates_dir) Remote File Inclusion Vulnerability (деталі)
• Invision Power Board Threaded View Mode Security Bypass (деталі)
• X7 Chat 2.0 SQL injection vulnerability (деталі)

13.08.2006

На початку місяця, 02.08.2006, знайшов Cross-Site Scripting уразливість на популярному проекті http://mediarevolution.ru. Про що найближчим часом сповіщу адміністрацію проекту.

Детальна інформація про уразливість з’явиться пізніше.

24.08.2006

XSS:

• alert(document.cookie)

10.08.2006

В кінці минулого місяця знайшов Cross-Site Scripting уразливість на популярному проекті http://www.findme.ru. Про що найближчим часом сповіщу адміністрацію проекту.

Детальна інформація про уразливість з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

23.08.2006

XSS:

• alert(document.cookie)