Архів за Березень, 2007

Хакінг бездротової мережі

23:28 28.03.2007

Пропоную вам подивитися один цікавий і корисний для хакерів і фахівців з безпеки відеролик про хакінг бездротової мережі за допомогою KisMac.

Hacking wireless networks with KisMac

В цьому ролику йдеться про взлом пароля в бездротовій мережі за допомогою програми KisMac під Mac OS (лише за біля 10 хвилин був взломаний WEP). І це є нагадування про те, що за безпекою потрібно слідкувати.

Уразливість на foto.meta.ua

21:43 28.03.2007

02.01.2007

У жовтні, 14.10.2006, я знайшов Cross-Site Scripting уразливість на популярному проекті http://foto.meta.ua - соціальний сервіс від Мети. Про що найближчим часом сповіщу адміністрацію проекту.

Останній раз я згадував про уразливості в проектах meta.ua в записі Нові уразливості на meta.ua. Вже чимало разів я писав про уразливості на Меті (як в пошуковці, так й інших її проектах) і ще не раз згадаю про неї в новинах.

Детальна інформація про уразливість з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

28.03.2007

XSS:

Дана уразливість вже виправлена.

Місяць багів в PHP: день двадцять сьомий

19:52 28.03.2007

Триває Місяць багів в PHP. І Стефан Ессер продовжує інформувати про діри в безпеці PHP.

Як повідомляється на офіційному сайті Month of PHP Bugs, учора, на двадцять сьомий день були упобліковані деталі про одну уразливість в PHP.

  • PHP mail() Header Injection Through Subject and To Parameters (деталі)

Двадцять сьомий день Місяця багів в PHP видався цікавим. Чекаємо, що Стефан приготував нам на наступний день багів.

Добірка експлоітів

17:17 28.03.2007

В даній добірці експлоіти в веб додатках:

  • Woltlab Burning Board Lite 1.0.2 decode_cookie() SQL Injection Exploit (деталі)
  • HSRS 1.0 (addcode.php) Remote File Include Vulnerability (деталі)
  • Oracle <= 9i / 10g (read/write/execute) Exploitation Suite (деталі)
  • JiRos FAQ Manager 1.0 (index.asp) Remote SQL Injection Vulnerability (деталі)
  • AspPortal Password Decrypter (деталі)

Місяць багів в PHP: день двадцять шостий

22:25 27.03.2007

Триває Місяць багів в PHP. І Стефан Ессер продовжує інформувати про діри в безпеці PHP.

Як повідомляється на офіційному сайті Month of PHP Bugs, учора, на двадцять шостий день були упобліковані деталі про одну уразливість в PHP.

Двадцять шостий день Місяця багів в PHP видався цікавим. Чекаємо на наступний день багів.

Експлоіти для PHP №2

19:16 27.03.2007

Продовжуючи тему експлоітів для PHP, пропоную вам наступну добірку есплоітів.

Це також експлоіти для PHP, що не ввійшли до Місяця багів в PHP. Але вони як раз з’явилися в березні та їх автори намагаються таким чином зі своєї сторони приєднатися до MOPB і вплинути на підвищення рівня безпеки PHP.

  • PHP 4.4.6 snmpget() object id Local Buffer Overflow Exploit PoC (деталі)
  • PHP 4.4.6 cpdf_open() Local Source Code Discslosure PoC (деталі)
  • PHP <= 4.4.6 ibase_connect() Local Buffer Overflow Exploit (деталі)

Добірка уразливостей

17:28 27.03.2007

В даній добірці уразливості в веб додатках:

Invision Power Board 2.2.2

22:49 26.03.2007

Деякий час тому вийшов Invision Power Board v2.2.2, тому всім хто користується движком IPB, раджу звернути увагу на нову версію. Мій форум вже був переведений в березні на нову версію.

  • Русская версия Invision Power Board v2.2.2 (деталі)

Компанія IBResource офіційно повідомляє про випуск нової російської версії форуму Invision Power Board v2.2.2. Нова версія несе в собі максимальну надійність, безпеку і локалізацію, при цьому не ідучи далеко від англомовного оригіналу.

Це наступна офіційна локалізована версія Invision Power Board, після IPB 2.1.7, випущена IBResource. В якій багато уваги було приділено безпеці.

У новій версії 2.2.2 разом з партнерами компанії IPS, Inc. були досліджені нові методи безпеки і зроблені необхідні зміни в програмном коді для переведення безпеки на більш високий рівень. При запуску форуму на новітньому PHP 5.2.x система може використовувати захищені cookies, що практично зводять до нуля можливість застосування XSS атак.

Уразливість на justua.info

20:25 26.03.2007

28.12.2006

У жовтні, 14.10.2006, я знайшов Cross-Site Scripting уразливість на популярному проекті http://justua.info (пошук в Гуглі через UA-IX). Про що найближчим часом сповіщу адміністрацію проекту.

Детальна інформація про уразливість з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

26.03.2007

XSS:

Дана уразливість досі не виправлена.

Місяць багів в PHP: день двадцять п’ятий

17:43 26.03.2007

Триває Місяць багів в PHP. І Стефан Ессер продовжує інформувати про діри в безпеці PHP.

Як повідомляється на офіційному сайті Month of PHP Bugs, учора, на двадцять п’ятий день були упобліковані деталі про одну уразливість в PHP.

Двадцять п’ятий день Місяця багів в PHP видався цікавим. Чекаємо, що Стефан приготував нам на сьогодні.