Below is the text of the page https://websecurity.com.ua/ stored 2007-12-11 by archive.org.ua. The original page over time could change. View as original html

2089 Websecurity - Веб безпека [http://websecurity.com.ua/] Уразливості в Scuttle 23:54 10.12.2007 У травні, 26.05.2007, я знайшов Cross-Site Scripting уразливості в системі Scuttle. Це веб-орієнтована соціальна система закладок. Як раз коли виявив уразливості на zanachka.com , де і використовується цей движок. Деталі уразливостей з’являться пізніше, спочатку повідомлю розробникам системи. Опубліковано в Уразливості | No Comments » Хакери можуть взяти на озброєння процесор Cell 22:46 10.12.2007 Новий процесор для консолі PlayStation має таку потужність, що здатний взламувати паролі набагато швидше будь-якого іншого аналога. Дослідник безпеки Нік Бріз з Security Assessment використовував PS3, щоб дешифрувати складні вісьмизначні паролі. Звичайно взлом таких паролів займає дні, а новий Cell зробив це усього за кілька годин. Подібні паролі використовуються для захисту файлів формату PDF і Zip-архівів, а також продуктів Microsoft Office. На конференції по безпеці Kiwicon, що проходила в середині листопада 2007 р., Бріз сказав, що процесори від Intel можуть робити 10-15 млн. циклів щосекунди. А Cell здатний проробляти 1,4 млрд. у секунду. Ця цифра досягається ефективною організацією багатоядерної системи. Фахівець відзначив, що хакери не преминуть скористатися новим досягненням ІТ-індустрії. В інтерв’ю Sydney Morning Herald Бріз сказав, що, хоча PS3 може використовуватися для взлому паролів, більш потужні системи шифрування - наприклад, ті, що використовуються для забезпечення безпеки Мережі, - залишаються в безпеці. По матеріалам http://www.cnews.ru . Опубліковано в Новини | No Comments » Уразливості в RotaBanner 18:30 10.12.2007 12.10.2007 У травні, 14.05.2007, я знайшов Cross-Site Scripting уразливості в банерній системі RotaBanner (виробництва Art. Lebedev Group). Деталі уразливостей з’являться пізніше, спочатку повідомлю розробникам системи. 10.12.2007 Уразливості в файлі index.html в параметрах user та drop. Вразлива версія RotaBanner Local 3 (та попередні). XSS: http://site/account/index.html?user=%3Cscript%3Ealert(document.cookie)%3C/script%3E http://site/account/index.html?drop=%3E%3Cscript%3Ealert(document.cookie)%3C/script%3E Дані уразливості в системі досі не виправлені. Причому девелопери RotaBanner, як вони відповіли мені, не вважають за потрібне виправляти ці уразливості (що наявні на багатьох сайтах, котрі використовують дану систему). 26f2 Опубліковано в Уразливості | No Comments » Добірка експлоітів 16:26 10.12.2007 В даній добірці експлоіти в веб додатках: vBulletin Mod RPG Inferno 2.4 (inferno.php) SQL Injection Vulnerability ( деталі ) SquirrelMail G/PGP Encryption Plug-in 2.0 Command Execution Vuln ( деталі ) PsNews 1.1 (show.php newspath) Local File Inclusion Vulnerability ( деталі ) MkPortal <= 1.1.1 reviews / gallery modules SQL Injection Exploit ( деталі ) paFileDB 3.6 (search.php) Remote SQL Injection Vulnerability ( деталі ) Prozilla Directory Script (directory.php cat_id) SQL Injection Vulnerbility ( деталі ) Realtor 747 (index.php categoryid) Remote SQL Injection Vulnerbility ( деталі ) eSyndiCat Directory Software Multiple SQL Injection Vulnerabilities ( деталі ) CMScout <= 1.23 (index.php) Remote SQL Injection Vulnerability ( деталі ) webSPELL <= v4.01.02 (topic) Remote SQL Injection ( деталі ) Опубліковано в Експлоіти | No Comments » Уразливості на zanachka.com 23:54 09.12.2007 У травні, 26.05.2007, я знайшов Cross-Site Scripting уразливості на проекті http://zanachka.com. Про що найближчим часом сповіщу адміністрацію проекту. Детальна інформація про уразливості з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу. Опубліковано в Уразливості | No Comments » Міжсайтовий скриптінг в Apache 22:35 09.12.2007 Виявлена уразливість в Apache, що дозволяє віддаленому користувачу зробити XSS напад. Уразливі версії: Apache 2.2.4, 2.0.46, 2.0.51, 2.0.55, 2.0.59 и 2.2.3, можливо інші ранні версії. Уразливість існує через недостатню обробку вхідних даних при відображенні помилки “413 Request Entity Too Large”. Віддалений користувач може за допомогою спеціально сформованого запиту виконати довільний код сценарію в браузері жертви в контексті безпеки уразливого сайта. Межсайтовый скриптинг в Apache ( деталі ) Опубліковано в Новини , Помилки | No Comments » Безпека сайтів про безпеку 7 19:46 09.12.2007 Продовжу тему безпеки секюріті сайтів, яку я піднімав в попередніх записах Безпека сайтів про безпеку , 2 , 3 , 4 , 5 та 6 . Ось нова добірка уразливих сайтів про інформаційну безпеку: hackzona.ru xato.net opennet.ru Всім security сайтам та компаніям слід приділяти більше уваги власній безпеці. Опубліковано в Новини сайту | No Comments » Добірка уразливостей 16:21 09.12.2007 В даній добірці уразливості в веб додатках: ProFTPD authentication bypass ( деталі ) WebDirector XSS vuln. ( деталі ) PHP-Nuke (ALL versions) Multiple XSS and HTML injection ( деталі ) Mambo 4.6.2 CMS - Session fixation Issue in backend Administration interface ( деталі ) WikiWebWeaver 1.1 beta Upload Shell Vulnerability ( деталі ) LiteWEB 2.7 404 Denial of Services ( деталі ) Internet Communication Manager Denial Of Service Attack ( деталі ) Multiple cross-site scripting (XSS) vulnerabilities in AnnonceScriptHP 2.0 ( деталі ) Vulnerability in AnnonceScriptHP 2.0 ( деталі ) ProFTPD <= 1.3.0a (mod_ctrls support) Local Buffer Overflow PoC ( деталі ) Міжсайтовий скриптінг і SQL-ін’єкція в A+ Store E-Commerce ( деталі ) SQL-ін’єкція в Evolve Shopping Cart ( деталі ) PHP remote file inclusion vulnerability in BLOG:CMS ( деталі ) PHP remote file inclusion vulnerability in the NewsSuite 1.03 ( деталі ) Міжсайтовий скриптінг в BLOG:CMS ( деталі ) 2361 Опубліковано в Уразливості | No Comments » Month of Bugs in Captchas: totals 23:50 01.12.2007 My project Month of Bugs in Captchas has finished and I’m summing up. In the project took part 32 CAPTCHA (Completely Automated Public Turing test to tell Computers and Humans Apart): plugins, services, built-in in CMS and individual captchas. The list of project’s participants (in order of appearance): learnwpf.com, craigslist.org, Peter’s Custom Anti-Spam Image, reCaptcha, Blogger, Google, itua.info, mt-scode, wait-till-i.com, shamanomaly.com, opennet.ru, PHP-Nuke, digg.com, Peter’s Random Anti-Spam Image, expert.com.ua, cgisecurity.com, search.live.com, Cryptographp, uaxxi.com, PHP-Fusion, HBH-Fusion, Nucleus CAPTCHA bypass, AIP, peterhost.ru, Math Comment Spam Protection, thepoorhouse.org.uk, Anti Spam Image, Captcha!, internetua.com, IPB, WP-ContactForm, ESP-PIX. Altogether there were published 75 vulnerabilities in mentioned captchas. Including Insufficient Anti-automation, Cross-Site Scripting (persistent and reflected) and Cross-Site Request Forgery vulnerabilities (and also redirector). Results of the projects: fixed 5 vulnerabilities from 75. It is 6,67% fixed vulnerabilities, which is much lower results of Month of Search Engines Bugs . Captchas developers need to attend more to reliability of their applications. Also there were published many captcha bypass methods (developed by me), which must be taken into account by web developers, for creating more reliable captchas. Note, that there are not only Insufficient Anti-automation vulnerabilities in captchas, but also others types of vulnerabilities. Such as Redirector ( MoBiC-05 Bonus ), Cross-Site Scripting ( MoBiC-12 Bonus , MoBiC-23 Bonus , MoBiC-26 Bonus , MoBiC-28 Bonus , MoBiC-29 Bonus ), SQL Injection ( MoBiC-20 Bonus ) and Cross-Site Request Forgery ( MoBiC-26 ). So developers of captchas need to improve their security. Thanks for watching MoBiC project. Best regards. And attend to your security. Опубліковано в Новини сайту , MoBiC | No Comments » Місяць багів в Капчах: підсумки 23:19 01.12.2007 Завершився мій проект Місяць багів в Капчах і я підводжу підсумки. В проекті прийняли участь 32 CAPTCHA (Completely Automated Public Turing test to tell Computers and Humans Apart): плагіни, сервіси, вбудовані в CMS та індивідуальні капчі. Перелік учасників проекту (в порядку появи): learnwpf.com, craigslist.org, Peter’s Custom Anti-Spam Image, reCaptcha, Blogger, Google, itua.info, mt-scode, wait-till-i.com, shamanomaly.com, opennet.ru, PHP-Nuke, digg.com, Peter’s Random Anti-Spam Image, expert.com.ua, cgisecurity.com, search.live.com, Cryptographp, uaxxi.com, PHP-Fusion, HBH-Fusion, Nucleus CAPTCHA bypass, AIP, peterhost.ru, Math Comment Spam Protection, thepoorhouse.org.uk, Anti Spam Image, Captcha!, internetua.com, IPB, WP-ContactForm, ESP-PIX. Всього оприлюднено 75 уразливостей в зазначених капчах. Включаючи Insufficient Anti-automation, Cross-Site Scripting (активні та пасивні) та Cross-Site Request Forgery уразливості (а також редиректор). Результати проекту: виправлено 5 уразливостей з 75. Це 6,67% виправлених уразливостей, що значно нижче результатів Місяця багів в Пошукових Системах . Розробникам капч потрібно більше слідкувати за надійністю своїх додатків. Також було оприлюднено багато методів обходу капч (розроблених мною), котрі повинні врахувати веб розробники, для створення більш надійних капч. Зазначу, що в капчах бувають не тільки Insufficient Anti-automation уразливості, але й інші типи уразливостей. Такі як Redirector ( MoBiC-05 Bonus ), Cross-Site Scripting ( MoBiC-12 Bonus , MoBiC-23 Bonus , MoBiC-26 Bonus , MoBiC-28 Bonus , MoBiC-29 Bonus ), SQL Injection ( MoBiC-20 Bonus ) та Cross-Site Request Forgery ( MoBiC-26 ). Тому розробникам капч потрібно покращувати їх безпеку. Спасибі, що слідкували за проектом MoBiC. Усього найкращого. І приділяйте увагу своїй безпеці. Опубліковано в Новини сайту , MoBiC | 2 Comments » « Previous Entries Меню Головна Аудит безпеки MustLive Security Pack Генератор XSS Визначення IP Посібник з безпеки Тестування Статті та доповіді Онлайн інструменти Про проект 1beb Категорії MoBiC MOSEB Security Pack Експлоіти Новини Новини сайту Помилки Програми Статті Уразливості Останні повідомлення Уразливості в Scuttle Хакери можуть взяти на озброєння процесор Cell Уразливості в RotaBanner Добірка експлоітів Уразливості на zanachka.com Міжсайтовий скриптінг в Apache Безпека сайтів про безпеку 7 Добірка уразливостей Month of Bugs in Captchas: totals Місяць багів в Капчах: підсумки Архів Грудень 2007 Листопад 2007 Жовтень 2007 Вересень 2007 Серпень 2007 Липень 2007 Червень 2007 Травень 2007 Квітень 2007 Березень 2007 Лютий 2007 Січень 2007 Грудень 2006 Листопад 2006 Жовтень 2006 Вересень 2006 Серпень 2006 Липень 2006 Мета Вхід WordPress Стрічка (RSS) Стрічка коментарів (RSS) Партнери forex history strategy | forex trading analytics Copyright © 2006-2007 MustLive . Усі права захищені. Hosting by IT-Lynx . Партнер проекту Websecurity.com.ua - веб проект mlfun.org.ua . 0