Archwium kategorii ‘BugTraq’
Open redirect w helion.pl
Otwarte przekierowanie jest rodzajem ataku skierowanego na skrypty dokonujące przekierowanie użytkownika na inne strony. Skrypty takie charakteryzują się przekazywaniem adresu strony jako jednego z parametrów adresu URL. Przykładowy adres może mieć następujący format:
XSS w serwisie Wirtualnej Polski
Często podawanym sposobem na zabezpieczenie się przed atakami typu XSS jest usunięcie z danych przesyłanych od użytkownika wszystkiego znajdującego się pomiędzy znakami „<„, „>”. Działanie takie jest jak najbardziej prawidłowe w przypadku, gdy korzystamy z niego świadomie. Wiara, że użycie „magicznej” funkcji strip_tags (w przypadku PHP) w pełni nas obroni jest złudna.
Sklep z dziurami
. grzech: przechowywanie haseł klientów w jawnej formie słabe filtrowanie danych wejściowych korzystanie z PostgreSQL – w połączeniu z SQL Injection umożliwia dostęp do całej bazy za pośrednictwem wykonania kilku zapytań za jednym razem pokazywanie komunikatów o błędach publiczny dostęp do logu błędów PostgreSQL – ujawnienie struktury bazy danych nazwa firmy – patrz vivid.com ( […]
Phishing w Pasażu Wirtualnej Polski
. grzech: brak filtracji szukanego słowa konsekwencja: umożliwienie ataku XSS / CSRF – umożliwia to phishing Jednym z serwisów wchodzących w skład portalu Wirtualna Polska jest Pasaż. Umożliwia on właścicielom sklepów internetowych prezentacje swoich produktów na łamach WP. Kluczowym elementem Pasażu jest wyszukiwarka umożliwiająca odnalezienia w gąszczu produktów tego, którym jesteśmy zainteresowani. Wpisywane słowo kluczowe […]
Błędy na DobraOpcja.pl
. grzech: brak filtracji danych konsekwencja: podatność na XSS, SQL Injection, CSRF możliwość usunięcia konta innego użytkownika Serwis DobraOpcja.pl jest polskim klonem MySpace’a. Jak na serwis web dwa zerowy przystało znajdziemy tam pastelowe kolory, zaokrąglone rogi, oraz jako że jest to polskie web 2.0 – błędy. Błędy, które możemy znaleźć to XSS (wstrzyknięcie własnego kodu […]
Kiepskie filtrowanie house.pl
. grzech: tworzenie własnego systemu filtrowania nieuwzględniającego funkcji natywnych konsekwencja: możliwość wstrzyknięcia kodu działającego po stronie klienta W ubiegłorocznej edycji WebStarFestival strona marki House została nagrodzona w kategorii „Odzież, moda i uroda”. Jak widać nie ocenia się tam poprawności stworzonego kodu.
Plamka na białym ekranie
O Centrum Filmowym Helios Centrum Filmowe Helios – sieć kin powstała w 1993 roku na bazie dwóch największych w owym czasie kin w Łodzi, „Capitolu” i „Bałtyku”. Obecnie sieć składa się z 14 kin różnej wielkości – od jednosalowych po 9. salowe.
Poszerzanie portfolio
O zlecenia.przez.net Nasz serwis powstał w celu kojarzenia specjalistów z danej dziedziny z tymi, którzy akurat poszukują takich właśnie fachowców. Dzięki naszemu serwisowi firmy, a także osoby prywatne mogą ogłaszać „konkursy” czy „przetargi” na realizację konkretnego pomysłu. Zarejestrowani w naszym serwisie „developerzy” odpowiadają na takie ogłoszenie składając swoje oferty. Licytacja przebiega aż czas ogłoszenia minie. […]
I znowu Onet
Wstępniak Nie jest to pierwsza notka o błędach portalu Onet.pl na moim blogu. Wcześniej pisałem o błędach w notce Książkowe błędy. Jakby nie patrzeć to od tamtego czasu minęło prawie pół roku, a poprawki nie widać.
Krytyczny błąd w qlWeb
. Podatne wersje: qlWeb