У лютому, 09.02.2015, я знайшов Brute Force, Cross-Site Scripting та Cross-Site Request Forgery уразливості в ZyXEL Keenetic Lite. Це Wireless Router і AP.
Раніше я писав про уразливості в ADSL модемі Zyxel P660RT2 EE.
Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам пристрою.
В жовтні, 11.10.2014, я знайшов Cross-Site Scripting та Redirector уразливості на сайті Яндекс.Деньги https://money.yandex.ru. Про що найближчим часом сповіщу адміністрацію пошуковця.
Раніше я вже писав про уразливості на money.yandex.ru.
Детальна інформація про уразливості з’явиться пізніше.
В жовтні, 11.10.2014, я знайшов Cross-Site Scripting уразливості на сайті Яндекс.Деньги https://money.yandex.ru. Про що найближчим часом сповіщу адміністрацію пошуковця.
Останній раз стосовно проектів Яндекс я писав про Cross-Site Scripting на pass.yandex.ru та уразливості в перекладачі Яндекса.
Детальна інформація про уразливості з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.
В даній добірці уразливості в веб додатках:
У січні, 24.01.2014, я виявив Cross-Site Scripting та Cross-Site Request Forgery уразливості в ASUS Wireless Router RT-G32. Це третя частина дірок в RT-G32.
Раніше я писав про уразливості в ASUS RT-G32.
Cross-Site Scripting (WASC-08):
Cross-Site Request Forgery (WASC-09):
Зміна різних налаштувань пристрою:
Уразливі всі версії ASUS RT-G32. Перевірялося в ASUS RT-G32 з прошивками версій 2.0.2.6 і 2.0.3.2.
Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.
Цього разу повідомляю про уразливості в плагінах SI CAPTCHA, Gamespeed та WPSS. Для котрих з’явилися експлоіти. SI CAPTCHA - це плагін для розміщення капчі, Gamespeed - це тема движка, WordPress Spreadsheet (WPSS) - це плагін для розміщення таблиць.
Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.
В даній добірці уразливості в веб додатках:
22.08.2014
Сьогодні я знайшов уразливості в різних моделях мережевих камер Hikvision. Це IP Camera та DVR пристрої. Зокрема Brute Force та Abuse of Functionality уразливості.
Уразливі моделі: Hikvision DS-2CD2412F-IW, DS-2CD2412F-I, DS-7204HWI-SH, DS-2CD2412F-IW, DS-2CD2012-I, DS-2CD2232-I5, DS-7108HWI-SH, DS-2CD7153-E, DS-2CD2132-I, DS-2DF5284-A.
Стосовно веб камер та відеореєстраторів Hikvision раніше я писав про уразливості в Hikvision DS-7204HWI-SH.
Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам пристрою.
26.03.2015
Abuse of Functionality (WASC-42):
Логін постійний: admin.
Brute Force (WASC-11):
В формі логіна http://site/doc/page/login.asp немає захисту від Brute Force атак. Дані відправляється через GET запит з Basic Authorization.
Відсутність захисту від Brute Force (такого як капча) також призводить до можливості проведення CSRF атаки, про що я писав в статті Атаки на незахищені логін форми. Це дозволяє проводити віддалений логін. Але вони захистилися від CSRF атаки через використання Basic Authorization.
Розробники вже виправили Brute Force уразливість.
В даній добірці уразливості в веб додатках:
* 
You are currently browsing the archives for the Уразливості category.
Copyright © 2006-2025 MustLive. Усі права захищені.
Партнер проекту Websecurity.com.ua - веб проект mlfun.org.ua.