Рассылка закрыта
При закрытии подписчики были переданы в рассылку "Безопасность. Статьи, новости, комментарии" на которую и рекомендуем вам подписаться.
Вы можете найти рассылки сходной тематики в Каталоге рассылок.
Компьютер для продвинутых пользоватлей Выпуск по безопасности
| Информационный Канал Subscribe.Ru |
Безопасность
Новости
Доля MS IE продолжает падать
По сравнению с июнем прошлого года, по состоянию на 29 апреля доля браузеров из многочисленного семейства MS IE снизилась на шесть процентных пунктов и достигла 89%. Второе место (правда, все еще с ошеломляющим отрывом) занимает Mozilla Firefox - у него всего 6,8 процента.
Интернет тероррист отделался легким испугом
Советский районный суд Самары постановил прекратить уголовное дело в отношении Сергея Улитина, разместившего в Интернете ложную информацию об аварии на Балаковской АЭС, в связи с "деятельным раскаянием" и освободить обвиняемого от уголовной ответственности.
Мошенники украли через интернет более 330 тыс. долл
Как сообщили представители министерства юстиции Йемена, обвиняемые, получившие несанкционированный доступ к компьютерной системе канадской нефтяной компании Nexen, перевели на собственные банковские счета около 332 тыс. долл., передает Reuters.
Опыт безопасности
Крах Windows из-за html-кода.
Данный код испытан на Win2000 и winXP. Ссылка на пример http://ha.ckers.org/imagecrash.html.
А вот код:
Продукт: PHPMyChat 0.14.5
Пример кода:
http://www.example.com/chat/config/start-page.css.php3? Charset=iso-8859-1&medium=10&FontName=<script> var%20test=1;alert(test);</script>
http://www.example.com/chat/config/style.css.php3? Charset=iso-8859-1&medium=10&FontName=<script> var%20test=1;alert(test);</script>
Название: MetaCart e-Shop
Уязвимость: Многократная.
Описание:
A. Cross-Site Scripting (XSS)
Файл productsByCategory.asp
Проблемный скрипт productsByCategory.asp:
--------------
strCatalog_name = Request.QueryString("strCatalog_NAME")
...
...
strParam = Response.Write (rsCatalog("catalogID")) &strCatalog_NAME=Response.Write (Server.URLEncode(rsCatalog("catalogName"))) &rsCatalog("catalogName")
--------------
Б. SQL инъекция
Фаил productsByCategory.asp
Порблемный скрипт:
---------------
intCatalogID = Request.QueryString("intCatalogID")
...
...
' Build SQL String using the parameters strSQL = "SELECT productID,productName,productPrice FROM products WHERE catalogID = '"&strParam&"'"
---------------
Пример:
Ошибка:
Microsoft JET Database Engine error '80040e14'
Syntax error in string in query expression '1=1--''.
/mcartlite/productsByCategory.asp, line 114
Фаил
Проблемный скрипт
---------------
intProdID = Request.QueryString("intProdID")
...
...
Set rsProdInfo = Conn.Execute("SELECT * FROM " & _ "products where productID="&intProdID)
if rsProdInfo.EOF then
Response.Write "Product Number " & intProdID & _ " does not exist."
---------------
В. Решение
Иправляем в файлах
- productsByCategory.asp
* Найти
intCatalogID = Request.QueryString("intCatalogID")
Потом заменить
intCatalogID = Replace(intCatalogID,"'","")
* Найти
strCatalog_name = Request.QueryString("strCatalog_NAME")
Потом добавить
strCatalog_name = Replace(strCatalog_NAME,"<","")
- product.asp
* Найти
intProdID = Request.QueryString("intProdID")
Потом добавиь
intProdID = Replace(intProdID,"'","")
=========================================================
Если Вам нравится данная рассылка и Вы готовы помочь, то Вы можете отправить немного помощи на R474348938531 или Z451490294903.
| http://subscribe.ru/
http://subscribe.ru/feedback/ |
Подписан адрес: Код этой рассылки: comp.paper.supuser |
Отписаться |
| В избранное | ||
