Архів за Липень, 2006

LinkScanner перевіряє сайти на вошивість

19:46 28.07.2006

Компанія Exploit Prevention Labs повідомила про випуск безкоштовного сервісу LinkScanner. Новинка, після того як у “рядок дослідження” введена адреса, перевіряє сайт чи визначену сторінку на наявність в ній шкідливих кодів чи інших загроз.

Таким чином, користувач, у якого виникли підозри, може улаштувати підозрілому сайту “перевірку на вошивість”. Зрозуміло, від помилки ніхто не застрахований, однак жертв хакерів, здатних заволодіти особистими даними користувача чи одержати доступ до його комп’ютера, може стати набагато менше.

Про помилки можна судити по дослідженню, проведеному фахівцями видання Tech Web. Сайти, що браузер Firefox 2.0 1 Beta пізнав як “можливо інфіковані”, LinkScanner визнав цілком чистими.

Конкурентів у LinkScanner, небагато - лише один. Це Mc Afee Site Advisor, що поширюється у вигляді плагіна до Internet Explorer і FireFox, а також доступний в онлайновій версії.

По матеріалам http://inattack.ru.

P.S.

Ось лінка на тест websecurity.com.ua ;-)

Добірка уразливостей

02:01 28.07.2006

В даній добірці уразливості в веб додатках:

  • Cross Site Scripting Vulnerability in Zoho Virtual Office (деталі)
  • New Article Mambo Component <= 1.0 (com_articles.php) Remote File Include Vulnerabilities (деталі)
  • Calendar Mambo Module <= 1.5.7 Remote File Include Vulnerabilities (деталі)
  • ListMessenger v0.9.3 Remote File Inclusion Vulnerability (деталі)
  • VisNetic Mail Server Two File Inclusion Vulnerabilities (деталі)
  • Міжсайтовий скриптінг та SQL-ін’єкція в phpFaber TopSites (деталі)
  • UFO2000 (UFO2000 SVN 1057) SQL injection vulnerability (деталі)
  • UFO2000 (UFO2000 SVN 1057) DoS (деталі)
  • Міжсайтовий скриптінг в Micro Guestbook (деталі)
  • Міжсайтовий скриптінг та SQL-ін’єкція в OrbitMATRIX (деталі)

Cross Site Scripting на pageranktool.net

23:51 27.07.2006

Вчора мною була знайдена XSS уразливість на відомому проекті http://www.pageranktool.net, котрий надає своїм відвідувачам можливсть дізнатися Page Rank будь-якого веб сайту з різних датацентрів Google.

Наприклад: PR mlfun.org.ua.

Адміністраціі даного сервіса повідомив про наявність уразливості.

XSS:

Онлайн інструменти

20:36 27.07.2006

Відкрив новий розділ Онлайн інструменти, в якому вашій увазі пропонуються мої веб-проекти - онлайн інструменти, що можуть стати в нагоді відвідувачам мого веб сайта.

Серед інструментів: MustLive Perl Pascal Programs Interpreter - онлайн-інтерпретатор мови Паскаль та MustLive CLX Monitor - система моніторингу за добовими програмами в CLX.

Добірка уразливостей

01:11 27.07.2006

В даній добірці уразливості в веб додатках:

  • Remote command execution in planetGallery (деталі)
  • iManage CMS <= 4.0.12 (absolute_path) Remote File Inclusion (деталі)
  • AFCommerce Shopping Cart SQL Injection and Cross Site Scripting (деталі)
  • osDate 1.1.7 multiple vulnerabilities (деталі)
  • hdweGUEST <= 2.1.1 Cross Site Scripting Vulnerabilities (деталі)
  • ExtCalendar Mambo Module <= v2( extcalendar.php ) Remote File Include Vulnerabilities (деталі)
  • WebScarab <= 20060621-0003 cross site scripting (деталі)
  • DeluxeBB mutiple vulnerabilities (деталі)
  • PHP-Post 1.0 Cookie Modification Privilege Escalation Vulnerability (деталі)
  • Professional PHP Tools Guestbook Multiple Vulnerabilities (деталі)

По матеріалам http://www.security.nnov.ru.

Нова уразливість на Рамблер

23:30 26.07.2006

24.07.2006

Сьогодні я знайшов ще одну діру в безпеці Рамблера. На цей раз не в http://adstat.rambler.ru/wrds/, а в самій пошуковій системі. Про що я вже сповістив адмінів.

Рамблеру явно слід більше приділяти уваги безпеці своїх сайтів ;-)

Слід зазначити, що адміни Рамблера до сих пір не прореагували на моє попереднє повідомлення, про 4 XSS бага на Рамблері, інформацію про які я вже виклав в публічний доступ.

Про останню уразливість на Рамблері я поки повідомляти не буду. Дочекаюся відповіді адмінів пошуковця та виправлення попередніх багів. А як пофіксять попередні багі, так і опублікую інформацію про нову уразливість.

26.07.2006

Враховуючи те, що адміністрація Рамблера зі мною зв’язаласа і вже виправила попередні багі в Рамблері (на adstat.rambler.ru/wrds/), публікую конкретну інформацію про найостанніший баг в пошуковий системі Рамблер (уразливість вже в самому пошуковці), котрий я знайшов два дні тому.

Cross-Site Scripting:

Користуйтеся поки є можливість :smile:

Добірка уразливостей

18:51 26.07.2006

В даній добірці уразливості в веб додатках:

  • New hiki packages fix denial of service (деталі)
  • Fire-Mouse TopList <=v1.1 - Cross Site Scripting (деталі)
  • Advanced Guestbook 2.4 for phpBB - Multiple XSS and SQL-Injection Vulnerabilities (деталі)
  • MicroGuestBook Remote XSS Attack (деталі)
  • MiniBB Forum <= 1.5a Remote File Include (search.php-whosOnline.php) (деталі)
  • Advanced Poll ver 2.02 (base_path) Remote File Inclusion (деталі)
  • Unidomedia Chameleon LE/Pro Directory Traversal (деталі)
  • Top XL <=1.1 - XSS and cookie disclosure (деталі)
  • phpFaber TopSites <=2.0.9 - SQL Injection Vulnerability (деталі)
  • SiteDepth CMS <= 3.01 - Remote File Include Vulnerability (деталі)

По матеріалам http://www.security.nnov.ru.

Уразливості на 1monthpr.com

01:22 26.07.2006

На минолому тижні знайшов уразливості на сайті http://1monthpr.com. Про що ще на минулому тижні повідомив адміністрацію. Але до сих пір уразливості не виправлені.

Cross-Site Scripting

XSS:

Користувачам сервісу 1monthpr.com потрібно бути обережним, тому що існує загроза викрадення логіна та пароля до їх акаунта.

Добірка уразливостей

15:18 25.07.2006

В даній добірці уразливості в веб додатках:

  • PHP Live! v3.2 (header.php) Remote File Include Vulnerabilities (деталі)
  • Vanilla CMS <= 1.0.1 (RootDirectory) Remote file inclusion Vuln. (деталі)
  • MoSpray [base_dir] Remote Command Execution [ Mambo & Joomla] (деталі)
  • DotClear : Multiples Full Path Disclosure (деталі)
  • BLOG:CMS <= 4.0.0j - XSS and cookie disclosure (деталі)
  • Blackboard Academic Suite 6.2.23 +/- Persistent cross-site scripting vulnerability (деталі)
  • Com Multibanners Remote File Inclusion (mosConfig_absolute_path) (деталі)
  • com_trade Remote File Inclusion (mosConfig_absolute_path) (деталі)
  • Savant2 Remote File Include Vulnerability [For Mambo, Joomla] (деталі)
  • MiniBB Forum <= 1.5a Remote File Include (news.php) (деталі)

По матеріалам http://www.security.nnov.ru.

Уразливості на www.q-lx.com і www.qlx.ru

13:13 25.07.2006

Сьогодні знайшов декілька уразливостей на сайтах http://www.q-lx.com і http://www.qlx.ru. Про що вже повідомив адмінів.

Full path disclosure:

http://www.q-lx.com/search.php?query=1

http://www.qlx.ru/search.php?query=1

Cross-Site Scripting:

XSS (кукіси):

alert(document.cookie)

alert(document.cookie)

XSS (цікавий):

www.q-lx.com

www.qlx.ru