27.10.09
Програма: efront
Версія 3.5.5
Рівень небезпеки: Низький

Опис:
Вразливість дозволяє віддаленому користувачу провести XSS атаку.

На сайті efrontlearning.net запевняють що в релізі 2009/11/23 v3.5.5 build 5208 :

• Added additional sanitization to eliminate xss attacks

Read more…

27.10.09
Програма: efront
Версія 3.5.3
Рівень небезпеки: Низький

Опис:
Вразливість дозволяє віддаленому користувачу провести XSS атаку.

Вразливість існує через недостатню фільтрацію вхідних данних  в параметрах “lessons_ID“, “message” в сценарії index.php. Read more…

Сьогодні я став щасливчиком та магічним способом отримав інвайт на Google Wave! А сталось це так: зайшов гмейл, та побачив лист з наступним повідомленням: (як отримати інвайт – читайте далі)
Read more…

Писав вже давно, лежало в RoA на античаті,  тепер думаю немає ніякого сенсу зберігати його в приваті.

http://uasc.org.ua/files/compactcms.php.txt
Read more…

Компонент: Projects

Тип вразливості: SQL-injection

Знайдено: 27.09.2009

Знайшов: Dimi4
index?option=com_projects&Itemid=62&idProyecto=27+UNION+SELECT+1,2,CONCAT_WS(0x3a,Version(),Database(),User()),4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27,28--
Read more…

Привіт всім) Все розпачалось з того шо побачив я лінк на сайт Конгресу Українських Націоналістів (далі КУН) http://cun.org.ua/ukr/. Трішки помучився з дирявим модулем альбому(опис на мілвормі побачив), вирішив подивитись реверс-іп. Read more…

Існує декілька типів вразливостей каптчі:

1. Оптичне Розпізнавання Символів (OCR). За таким методом ПЗ намагається конвертувати картинку в текст. Найпростіше – еталонне. Пікселі на зображенні порівнюються із складеною базою символів.
2. Погана технічна реалізація. Виявляється в тому, що код каптчі передається в сесії, куках чи іншим методом, який може підгледіти користувач. Наприклад captcha.php?code=682.
3. Мала кількість символів. Все банально, хоч каптча достатня складна, легко обходиться брутом Ефективність не на вищому рівні, але це шанс. Вона досягне максимального рівня якщо буде використовуватись ботнет із великою кількістю машин.
4. Спеціалізовані сервіси. Існує багато сервісів типу “Антикаптчі”. Ви платите людям котрі будуть з максимальною швидкістю визначати код каптчі. Досить ефективний метод, і достатньо дешевий.

Read more…

Безпрецедентна акція! Можеж отримати халявний код ваучера скайп! Поповнення на 0,51 євро. Один ваучер – один номер мобіли! Більше мобіл – більше бабосів )
Юзаєм поки не прикрили)

В травні місяці довелось мені переглянути вихідний код одного листа на укр неті. І побачив я одну цікаву особливість, а саме,  текст листа був у такому вигляді:

Вже в голові закрутились думки про XSS =) . Покопався ще трохи, та дійшов до такого коду:
Read more…

Віруси та трояни часто змінюють в своїх цілях системний файл hosts. Це може призвести до того, що навіть після очистки комп’ютера атака зможе успішно повторитись.

Що робим? Перевіряєм, захищаєм файл hosts!
Read more…