Информационная безопасность компьютерных систем и защита конфиденциальных данных
SecuRRity.Ru » Облако тегов » уязвимый
Уязвимые сайты

Telegraph.co.uk - взломан через SQL-инъекцию

автор: Administrator | 6 марта 2009, 18:20 | Просмотров: 5619
теги: Уязвимые сайты, unu, ИНЬЕКЦИЯ, БАЗА ДАННЫХ, SQL, САЙТ, ВЗЛОМАН, уязвимый, доступ, Telegraph

Последние новости, бизнес, спорт, комментарий, образ жизни и культура + информационные статьи от газет Daily Telegraph и Sunday Telegraph, видео от Telegraph и... и SQLi инъекция, которая позволяет получить полный доступ ко ВСЕМ базам данных этой известной газеты...
Уязвимые сайты

XSS уязвимость в DataLife Engine

автор: Administrator | 4 марта 2009, 22:11 | Просмотров: 5423
теги: Уязвимые сайты, ОПАСНОСТЬ, xss, МЕЖСАЙТОВЫЙ, СКРИПТИНГ, уязвимый

Программа:
DataLife Engine 7.х (теоретически во всех версиях)

Опасность:
средняя

Описание:
XSS уязвимость, с помощью которого можно поместить специальный HTML код в Заголовок, в краткую или полную новость, с помощию каторого можно:
- вставить на сайте невидимый IFRAME
- перенаправлять посетителей на другой сайт(фейк)
- размещять всплывающих окон
- загрузить разные вирусы, файлы и др.
Статьи

Межсайтовый скриптинг (XSS) в DataLife Engine

автор: Administrator | 4 марта 2009, 02:41 | Просмотров: 8711
теги: САЙТ, ОПАСНОСТЬ, xss, МЕЖСАЙТОВЫЙ, СКРИПТИНГ, уязвимый

Мы все думали, что DataLife Engine является идеальной системой, не имеет никаких уязвимостей, а администраторы могут использовать с большим удовольствием все функции этой системы, убеждены, что эта CMS является непобедимой.

Я тоже так думал, что DLE вообще неуязвимая. Но несколько дней назад, во время проверки уязвимостей в моем модуле, я был очень неприятно удивлен тем, что нашел, а нашел я - XSS уязвимость, с помощью которого можно поместить специальный HTML код в Заголовок, в краткую или полную новость.

К счастью, не смотря на то, что это активная XSS, куки не могут быть украдены так легко, как кажется. Ведь в движке используется несколько особенные функций, которые защищают куки, чтобы не были украдены. НО, я сказал что "куки не могут быть украдены так легко", а это не значит, что получить их невозможно.

Получит хакер куки или нет, зависит только до какого предела он готов пойти, насколько внимательны администраторы и на каком сервере находится сайт.