Архів за Листопад, 2006

« Попередні записи
Наступні записи »

Уразливість на go.km.ru

16:20 04.11.2006

27.09.2006

В минулому місяці, 27.08.2006, я знайшов Cross-Site Scripting уразливість на популярному проекті http://go.km.ru - пошуковій системі портала km.ru. Про що найближчим часом сповіщу адміністрацію проекту.

Детальна інформація про уразливість з’явиться пізніше.

04.11.2006

XSS:

Уразливість досі не виправлена.

Опубліковано в Уразливості | Без Коментарів »

Добірка експлоітів

15:32 04.11.2006

В даній добірці експлоіти в веб додатках:

  • Newswriter SW <= 1.42 (editfunc.inc.php) File Include Vulnerability (деталі)
  • PPA Gallery <= 1.0 (functions.inc.php) Remote File Include Exploit (деталі)
  • NaviCOPA Web Server 2.01 (GET) Remote Buffer Overflow Exploit (деталі)
  • TagIt! Tagboard <= 2.1.b b2 (index.php) Remote File Include Vulnerability (деталі)
  • paBugs <= 2.0 Beta 3 Remote File Include Exploit (деталі)

Опубліковано в Експлоіти | Без Коментарів »

Mozilla Firefox 2.0 DoS

19:50 03.11.2006

В браузері Firefox 2.0, який нещодавно вийшов, знайдена уразливість, яка призводить до відмови браузеру (DoS).

Уразливими є Firefox версії 1.5.0.7 та нижче, та 2.0. Помилка призводить до Denial of Services (лише DoS, виконання коду не відтверджене).

Як я перевірив в Firefox 2.0 - експлоіт працює, браузер вилітає :twisted: . При цьому зазначу, що Mozilla 1.7 не вразлива до цієї помилки - дана версія Mozilla не вилітає. В цьому плані стара версія Мозіли перевершила більш нову (найостаннішу) версію Firefox.

Протестуйте ваш браузер: Mozilla Firefox <= 1.5.0.7/ 2.0 (createRange) Remote DoS Exploit.

Опубліковано в Новини сайту, Експлоіти | Без Коментарів »

Відео мануал по SQL Injection

18:39 03.11.2006

Знайшов сьогодні цакавий відео ролик на YouTube - мануал (довідкове відео) по SQL Injection.

SQL Injection

Рекомендую подивитися всім хто цікавиться цією темою. Для отримання додаткової інформації - як зі сторони проведення SQL Injection атак, так і зі сторони протидії подібним атакам.

До речі, про YouTube я вже згадував раніше в записі уразливість на www.youtube.com.

Опубліковано в Статті | Без Коментарів »

Добірка уразливостей

17:04 03.11.2006

В даній добірці уразливості в веб додатках:

  • Comdev Web Blogger 3.1 <= Remote File Inclusion (деталі)
  • Comdev Customer Helpdesk 3.1 <= Remote File Inclusion (деталі)
  • Comdev Vote Caster 3.1 <= Remote File Inclusion (деталі)
  • Comdev Contact Form 3.1 <= Remote File Inclusion (деталі)
  • Comdev News Publisher 3.1 <= Remote File Inclusion (деталі)
  • Comdev Photo Gallery 3.1 <= Remote File Inclusion (деталі)
  • Comdev Links Directory 3.1 <= Remote File Inclusion (деталі)
  • Comdev Events Calendar 3.1 <= Remote File Inclusion (деталі)
  • lesvisit (visiteurs) <= v2.0 (lvc_include_dir) Remote File Include Vulnerability (деталі)
  • SQL injection vulnerability in ATutor 1.5.3.1 (деталі)

Опубліковано в Уразливості | Без Коментарів »

Обхід обмежень safe mode через glob()

20:29 02.11.2006

Можливий обхід PHP safe_mode через glob() (protection bypass). Уразливі версії: PHP 5.2.

Функція glob() дозволяє визначити існування каталогу чи файлу і побудувати список файлів.

Експоліт: PHP Safe mode breaker.

Додаткова інформація:

  • Обхід обмежень safe mode в PHP (деталі)

Опубліковано в Експлоіти, Помилки | Без Коментарів »

Уразливість на www.hint.ru та hint.com.ua

19:30 02.11.2006

10.10.2006

В минулому місяці, 01.09.2006, я знайшов Cross-Site Scripting уразливість на популярних проектах http://www.hint.ru та http://hint.com.ua. Про що найближчим часом сповіщу адміністрацію проектів.

Детальна інформація про уразливості з’явиться пізніше.

02.10.2006

XSS:

http://www.hint.ru

http://hint.com.ua

Уразливості вже виправлені, про що мені повідомив адміністратор проектів.

Опубліковано в Уразливості | 2 Коментарів »

Добірка експлоітів

14:12 02.11.2006

В даній добірці експлоіти в веб додатках:

  • Kietu? <= 4.0.0b2 (hit.php) Remote File Include Vulnerability (деталі)
  • A-Blog 2.0 Multiple Remote File Include Vulnerabilities (деталі)
  • Blog Pixel Motion 2.1.1 PHP Code Execution / Create Admin Exploit (деталі)
  • KGB 1.87 (Local Inclusion) Remote Code Execution Exploit (деталі)
  • Newswriter SW v1.4.2 Remote File Include Exploit (деталі)

Опубліковано в Експлоіти | Без Коментарів »

PHP CMS XSS комікс

17:50 01.11.2006

Зустрівся меня сьогодні на сайті ha.ckers.org цікавий комікс - PHP CMS XSS.

Про те як помічник MS Office намагається допомогти в написанні CMS на PHP - автоматично вставивши Cross Site Scripting уразливості :grin:

PHP CMS XSS комікс

Хорошого вам настрою ;-) . І вдачних php розробок.

Опубліковано в Новини сайту | Без Коментарів »

Уразливості на www.adweb.iatp.org.ua

16:35 01.11.2006

07.10.2006

Наприцінці серпня, 31.08.2006, я знайшов декілька уразливостей на популярному проекті http://www.adweb.iatp.org.ua (Cross-Site Scripting та Full path disclosure). Про що найближчим часом сповіщу адміністрацію проекту.

Детальна інформація про уразливості з’явиться пізніше.

01.11.2006

Уразливості в пошуковій програмі сайту. Як я вже писав (в записі Поширені уразливості в пошукових системах), це дуже поширене явище в інтернеті.

XSS:

Full path disclosure:

Уразливості досі не виправлені.

Опубліковано в Уразливості | Без Коментарів »


« Попередні записи
Наступні записи »