Websecurity - Веб безпека

07.02.2008

У липні, 08.07.2007, я знайшов Cross-Site Scripting уразливість в пошуковій системі http://www.godado.it. Про що найближчим часом сповіщу адміністрацію системи.

До речі, даний пошуковець використовує движок Ask.com (тому дана компанія також несе відповідальність за уразливість).

Детальна інформація про уразливість з’явиться пізніше.

09.06.2008

XSS:

• alert(document.cookie)

Дану уразливість вже виправили. Але зробили це лише частково, тому при невеличкій модифікації коду вона знову працює.

XSS:

• alert(document.cookie) (IE)
• alert(document.cookie) (Mozilla)
• цікавий (Mozilla)

В даній добірці експлоіти в веб додатках:

• XOOPS Module wfdownloads (cid) Remote SQL Injection Vulnerability (деталі)
• zKup CMS 2.0 <= 2.3 Remote Upload Exploit (деталі)
• zKup CMS 2.0 <= 2.3 Remote Add Admin Exploit (деталі)
• Joomla Component Candle 1.0 (cID) SQL Injection Vulnerability (деталі)
• BM Classifieds <= 20080409 Multiple SQL Injection Vulnerabilities (деталі)
• QuickTicket <= 1.5 (qti_usr.php id) SQL Injection Vulnerability (деталі)
• Mambo Component eWriting 1.2.1 (cat) SQL Injection Vulnerability (деталі)
• VHCS <= 2.4.7.1 (vhcs2_daemon) Remote Root Exploit (деталі)
• phpBB Mod FileBase (id) Remote SQL Injection Vulnerability (деталі)
• Pluxml 0.3.1 Remote Code Execution Exploit (деталі)