Отправляет email-рассылки с помощью сервиса Sendsay

IT-безопасность в быту и не только

Рассылка закрыта

При закрытии подписчики были переданы в рассылку "Безопасность. Статьи, новости, комментарии" на которую и рекомендуем вам подписаться.

Вы можете найти рассылки сходной тематики в Каталоге рассылок.

  Сентябрь 2005  
 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
Автор
Forester

Статистика

1.394 подписчиков
-1 за неделю
  Все выпуски  

Компьютер для продвинутых пользоватлей Выпуск по безопасности.


Информационный Канал Subscribe.Ru
Опасные продукты:
File Transfer Anywhere
MIVA Merchant
Безопансность
ПО: Noah's classifieds. Версия: Все версии.
Эксплуатация: Отдаленный доступ через браузер.

Описание:
Noah' Classifieds - универсальное приложение, которое позволяет вам устанавливать множество новых категорий так, как вы хотели определить их в поле.
Уязвимость:
Несколько скриптов должным образом не проверяют ввод данных пользователем. Удаленный пользователь может создать специальным образом подготовленный параметр, который выполнит SQL команды на базой данных. Удаленный пользователь может создать специальным образом подготовленный URL так, что при загрузки адреса пользователем, он выполнит определенные действия. В результате у пользователя появится возможность обратится к cookies атакуемого.
SQL-инъекция:
Пример URL:
http://localhost/classifieds/index.php?methode=showdetails&list=Advertisment&rollid=4
Уязвимость очень проста в применении, например страницы "Search"&"forgotten password", в которые так же можно вставить код.
XSS:
Пример URL:
http://localhost/classifieds/index.php?methode=showdetails&list=Advertisment&rollid=4'<script>alert(document.cookie)</script>
Имя пользователя и хеш-пароль находятся в cookies пользователя. Нападающий может зайти в системы под чужим именем и паролем.

Если Вам нравится эта рассылка, и Вы пользуетесь сведениями из неё, то можете поддержать автора, перечислив небольшое вознаграждение на R474348938531 или Z451490294903. Связаться со мной можно по ICQ 273214003.
Subscribe.Ru
Поддержка подписчиков
Другие рассылки этой тематики
Другие рассылки этого автора 		Подписан адрес:
Код этой рассылки: comp.paper.supuser 		Отписаться
Вспомнить пароль
В избранное