Websecurity - Веб безпека

В даній добірці уразливості в веб додатках:

• Banex Multiple Vulnerabilities (деталі)
• Ajax Chat Multiple Vulnerabilities (деталі)
• Jetbox Multiple Vulnerabilities (деталі)
• WoW Roster <= 1.5.x Remote File Include (hsList.php) (деталі)
• ShoutBox v4.4 Remote Command Execution (деталі)
• MWNewsletter SQL Injection and XSS Vulnerabilities (деталі)
• MWGuest XSS Vulnerability (деталі)
• N.T. Version 1.1.0 XSS and PHP Code Insertion Vulnerabilities (деталі)
• MD News Authentication Bypass and SQL Injection Vulnerabilities (деталі)
• Wire Plastik wpBlog SQL Injection Vulnerability (деталі)

На минулому тижні знайшов Cross-Site Scripting уразливість на http://www.metalweb.ru. Про що повідомив адміністрації проекту.

XSS:

• alert(document.cookie)
• цікавий

02.08.2006

Після знайдення уразливості на online.ua, я знайшов знайшов декілька нових Cross-Site Scripting уразливостей на веб сайтах http://startua.com та http://online.ua (обидва бренди належать одному веб проекту). Про що найближчим часом повідомлю адміністрацію даних сайтів. Нудьгувати їм не доведеться

Детальна інформація про уразливість з’явиться пізніше.

04.08.2006

Уразливості:

• XSS уразливість на startua.com та online.ua

http://perevod.startua.com
http://pereklad.online.ua

При подачі POST запиту можливий XSS-напад:
</textarea><script>alert(document.cookie)</script>

• XSS уразливість на startua.com

http://www.startua.com/mlist/ml.asp

При подачі POST запиту можливий XSS-напад:
12345@12345.com<script>alert(document.cookie)</script>

В даній добірці уразливості в веб додатках:

• Portail PHP v1.7 Remote File Include (деталі)
• Content Management Framework “G3″ - XSS Vulnerability in Search Function (деталі)
• X-Statics 1.20 SQL Injection Vulnerability (деталі)
• X-Protection 1.10 SQL Injection Vulnerability (деталі)
• X-Poll SQL Injection Vulnerability (деталі)
• TinyPHPForum Multiple Vulnerabilities (деталі)
• SQLiteWebAdmin multiple Vulnerabilities (деталі)
• EJ3 Soft: TOPo 2.2.178 Vulnerability N1 (деталі)
• EJ3 Soft: TOPo 2.2.178 Vulnerability N2 (деталі)
• SQL-ін’єкція в SD Studio CMS (деталі)

28.07.2006

Нещодавно знайдені численні уразливості в Mozilla, Firefox, Seamonkey та Thunderbird дозволяють виконання коду без будь-яких обмежень і можуть бути використані для прихованої установки шкідливого коду.

• Mozilla Products Contain Multiple Vulnerabilities (деталі)
• Mozilla Firefox XPCOM Event Handling Memory Corruption (деталі)
• mozilla vulnerabilities (деталі)
• Thunderbird vulnerabilities (деталі)
• Mozilla Firefox Multiple Vulnerabilities (деталі)
• Mozilla Firefox Javascript navigator Object Vulnerability (деталі)

По матеріалам http://www.security.nnov.ru.

02.08.2006

Додаткова інформація:

• Множественные уязвимости в Mozilla Firefox (деталі)

03.08.2006

Додаткова інформація:

• Netscape/K-Meleon/Flock JavaScript navigator Vulnerability (деталі)

P.S.

Планую викласти експлоіти для даних уразливостей

01.08.2006

Вчора знайшов дві Cross-Site Scripting уразливості на сайті відомого журналу http://www.internetua.com. Про що найближчим часом повідомлю адміністрацію проекту.

Детальна інформація про уразливості з’явиться пізніше.

03.08.2006

Перша уразливість.

XSS:

• alert(document.cookie)

Друга уразливість.

XSS:

POST запит на сторінці http://mail.internetua.com/go/password.php:

<script>alert(document.cookie)</script>В полі: username.

В даній добірці уразливості в веб додатках:

• PrinceClan Chess Mambo Com <= 0.8 Remote Inclusion Vulnerability (деталі)
• cpanel login problem (деталі)
• Guestbook Mambo Module <== v1.3.0 Multiple Remote File Include Vulnerabilities (деталі)
• PHP-Nuke INP XSS (деталі)
• Remote Include Vulnerability ====> in Dr.Jr7 Gallery 3.2 RC1 (деталі)
• Ruperts News Script SQL Injection Vulnerability (деталі)
• HB-NS Multiple XSS and SQL Injection Vulnerabilities (деталі)
• AZNEWS SQL Injection Vulnerability (деталі)
• warforge.NEWS SQL Injection and Multiple XSS Vulnerabilities (деталі)
• RateIt SQL Injection Vulnerability (деталі)

В даній добірці уразливості в веб додатках:

• Multiple vulnerabilities in OpenCMS (деталі)
• Xss in MttKe-php v2.6 (деталі)
• Cross-Site Scripting and Local File Inclusion in Phorum (деталі)
• GeoClassifieds Enterprise <= 2.0.5.2 Cross Site Scripting (деталі)
• a6mambohelpdesk Mambo Component <= 18RC1 Remote Include Vulnerability (деталі)
• Professional Home Page Tools: Guestbook Vulnerability (деталі)
• Міжсайтовий скриптінг в TP-Book (деталі)
• SQL injection vulnerability in Gerrit van Aaken Loudblog 0.5 and earlier (деталі)
• Directory traversal vulnerability in UNIDOmedia Chameleon LE 1.203 and earlier (деталі)
• Міжсайтовий скриптінг в sNews (деталі)

31.07.2006

Декілька днів тому знайшов Cross-Site Scripting уразливість на популярному проекті http://online.ua. Про що найближчим часом повідомлю адміністрацію проекту.

Детальна інформація про уразливість з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

01.08.2006

Cross-Site Scripting уразливості на http://index.online.ua.

XSS:

• alert(document.cookie)

P.S.

Адміни online.ua вже виправли дану уразливість, але на них чекає інформація про нові

В даній добірці уразливості в веб додатках:

• wwwThreads XSS (деталі)
• PHP-Auction SQL injection (деталі)
• EzUpload multi file vulnerabilities (деталі)
• Full Path Disclosure xGuestBook v1.02 (деталі)
• Phpprobid <= 5.24 XSS SQL injection Vulnerability (деталі)
• MyBB ‘Avatar URL’ XSS Vulnerability (деталі)
• Newsadmin SQL Injection Vulnerability (деталі)
• Advanced Poll ‘User-Agent’ SQL Injection and ‘X-Forwarded-For’ Unauthorized Data Modification (деталі)
• Pro Publish SQL Injection and PHP Code Insertion Vulnerabilities (деталі)
• PHP Newsfeed SQL Injection Vulnerability (деталі)