09.12.2007
У травні, 26.05.2007, я знайшов Cross-Site Scripting уразливості на проекті http://zanachka.com. Про що найближчим часом сповіщу адміністрацію проекту.
Детальна інформація про уразливості з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.
07.04.2008
XSS:
Дані уразливості вже не працюють. Тому що даний веб проект припинив свою роботу.
В даній добірці експлоіти в веб додатках:
Виявлена Content Spoofing уразливість в IPB. Уразливість дозволяє розмістити iframe на сторінках форума (це persistent html injection).
Уразливі версії Invision Power Board 2.3.x та попередні.
В сігнатурі користувача можливе включення html-коду з тегом iframe. Що дозволяє провести Content Spoofing атаку.
Виявлені численні уразливості безпеки в Apache-SSL.
Уразливий продукт: Apache-SSL.
Численні уразливості при ініціалізації змінних оточення з даних клієнтського сертифіката.
05.02.2008
Продовжу тему безпеки секюріті сайтів, яку я піднімав в попередніх записах Безпека сайтів про безпеку, 2, 3, 4, 5, 6 та 7.
Ось нова добірка уразливих секюріті сайтів:
Всім security сайтам та компаніям слід приділяти більше уваги власній безпеці.
05.04.2008
Ще одна добірка уразливих секюріті сайтів:
ІБ проектам та секюріті компаніям варто більше слідкувати за безпекою власних сайтів.
В даній добірці уразливості в веб додатках:
Сайти соціальних мереж являють собою плацдарм для зловживання довірою з боку хакерів і комп’ютерних шахраїв, стверджує датська компанія досліджень інформаційної безпеки CSIS. І як я нещодавно писав, в 2008 році ця тенденція продовжиться.
Приміром, сайти на зразок LinkedIn дозволяють створити своє приватне співтовариство, і, запрошуючи в нього випадкових людей, використовувати потім їхню довіру в шахрайських цілях. Дослідник CSIS Деніс Ренд створив фіктивний профіль на LinkedIn і за кілька тижнів зібрав співтовариство з 1340 “довірених зв’язків”. “Сліпа довіра”, вбудована в соціальні мережі, може бути використана для розсилання посилань на шкідливі веб-сторінки, при цьому одержувач буде помилково думати, що джерело - довірене.
Оскільки LinkedIn призначена для ділових зв’язків, і, отже, відкрита для доступу з офісу, співробітник, що звільняється, може просто завантажити до себе на сторінку конфіденційну інформацію, говорить Ренд. Дослідження на основі мережі LinkedIn з 10 млн. зареєстрованих користувачів відображує ситуацію в просторі соціальних мереж у цілому. На думку Ренда, компанії повинні стежити за використанням таких ресурсів.
За даними доповіді університету Індіани, США, 72% одержувачів фішерських електронних листів від своїх колег по соціальній мережі не змогли розпізнати загрозу. Але лише 15% не змогли цього зробити, одержавши листа від випадкових людей. За даними ha.ckers.org, середній доход фішера, що використовує для шахрайства MySpace, Facebook і LinkedIn, складає до $4000 в день.
По матеріалам http://www.securitylab.ru.
28.10.2007
У травні, 22.05.2007, я знайшов Full path disclosure, Information leak та Cross-Site Scripting уразливості на проекті http://www.uhuhu.ru. Про що найближчим часом сповіщу адміністрацію проекту.
Детальна інформація про уразливості з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.
04.04.2008
Full path disclosure:
http://www.uhuhu.ru/catalogues/list/?page=-2
Information leak:
http://www.uhuhu.ru/catalogues/list/?page=-2
XSS:
Дані уразливості вже виправлені.
В даній добірці експлоіти в веб додатках:
При проведенні аудиту безпеки веб сайта ви можете зіткнутися з наявністю на сайті баз даних. У випадку коли використовується СУБД MySQL, то для проведення дослідження на предмет SQL Injection вам може стати у нагоді пам’ятка з SQL Injection в MySQL. Існує одна подібна і детальна пам’ятка.
MySQL SQL Injection Cheat Sheet
В даній пам’ятці наводяться стандартні запити при проведенні перевірок на наявність SQL ін’єкцій в MySQL.
* 
You are currently browsing the archives for Квітень, 2008.
Copyright © 2006-2025 MustLive. Усі права захищені.
Партнер проекту Websecurity.com.ua - веб проект mlfun.org.ua.