Виявлене переповнення буфера в PCRE. Уразливість дозволяє віддаленому користувачу викликати відмову в обслуговуванні та скомпрометувати цільову систему.Уразливі версії: PCRE 7.7, можливо більш ранні версії.Уразливість існує через помилку в pcre_compile.c при обробці визначених шаблонів, що містять на початку опцію і множинні
У листопаді, 07.11.2007, я знайшов Cross-Site Scripting уразливість на сайті http://absolutist.com. Про що найближчим часом сповіщу адміністрацію сайта.Детальна інформація про уразливість з'явиться пізніше.
Нещодавно, 08.07.2008, я знайшов Cross-Site Scripting в капчі eCaptcha. Як раз коли виявив уразливості на www.nist.org, де і використовується ця капча.Детальна інформація про уразливість з'явиться пізніше. Спочатку повідомлю розробникам веб додатку.
Як повідомляться, хакери, що взломали восени минулого року тисячі банкоматів Citibank в американській мережі магазинів 7-Eleven, швидше за все вкрали ПІН-коди без звертання до сервера самого банку.Особливість цього взлому відрізняється від інших тим, що звичайно для крадіжки ПІН-кодів зловмисникам приходиться
В березні минулого року була виявлена уразливість міжсайтового скриптінгу в WordPress. Уразливість дозволяє віддаленому користувачу виконати XSS напад.Вразливим є параметр year в функції wp_title, що виводить заголовок версії WordPress: для 2.0.x до 2.0.10, для 2.1.x до 2.1.3. В нових версіях
У листопаді, 06.11.2007, а також додатково сьогодні, я знайшов Insufficient Anti-automation та Cross-Site Scripting уразливості на секюріті проекті http://www.nist.org. Про що найближчим часом сповіщу адміністрацію проекту.Раніше я вже писав про уразливості на www.nist.org.Детальна інформація про уразливості з'явиться пізніше. Треба дати
Нещодавно з'явився експлоіт для браузера Safari, що використовує уразливість в QuickTime, зокрема в методі роботи Safari з QuickTime. Що приводить до Content-Type Buffer Overflow (на QuickTime до версії 7.3 включно) на платформі Mac OS X (Intel).Це і демонструється в даному
Взлом сотень литовських сайтів наприкінці червня проводився через французькі і шведські сервера, як повідомив Рімантас Ремейку, голова комітету з розвитку інформаційного суспільства. У пошуках зловмисників, що додали на сторінки сайтів радянську символіку, республіка звернеться до допомоги Франції і Швеції.Як говорять
Є такий цікавий метод захисту від XSS - Data Binding. Про який я ще розповім окремо. І автор цього методу розробив PoC - Preventing XSS with Data Binding, який розмістив на своєму сайті.Так от, у листопаді, 06.11.2007, я знайшов Cross-Site
Сьогодні я знайшов Insufficient Anti-automation уразливість в системі RavenNuke. Дірку я виявив на її офіційному сайті http://ravenphpscripts.com. Про що найближчим часом повідомлю розробникам системи.Дана уразливість подібна до Insufficient Anti-automation уразливості в PHP-Nuke, про котру я писав в записі MoBiC-10: PHP-Nuke
Продовжуючи розпочату традицію, після попереднього відео про SQL Injection в ASP, пропоную новий відео секюріті мануал. Цього разу відео про SQL Injection в JPortal CMS. Рекомендую подивитися всім хто цікавиться цією темою.JPortal CMS SQL Injection Exploit in Action by (ruiner_zer0)В
В минулому році відбувся масовий взлом сайтів в США. Ця новина в мене дещо відклалася, але вона актуальна в контексті постійних масових взломів сайтів, що відбуваються в цьому році.У мережі американського провайдера Dreamhost відбувся масовий дефейс сайтів і взлом FTP-акаунтів.
В даній добірці уразливості в веб додатках:fusetalk CSS (autherror.cfm) (деталі)fusetalk CSS (comfinish.cfm) (деталі)Comersus Shop Cart 7.07 SQL Injection & XSS (деталі)New Include Redirect Bug XSS All vBulletin v 3.x.x (деталі)New post Topic Hijacking XSS All vBulletin v 3.x.x (2) (деталі)W1L3D4
Виявлені численні уразливості безпеки в Ruby.Уразливі версії: Ruby 1.8, Ruby 1.9.Можливе виконання коду та відмова в обслуговуванні.Vuln name: Ruby rb_ary_fill() DOS (деталі)rPSA-2008-0206-1 ruby (деталі)
Сьогодні я виявив новий редиректор на Яндексі, після того як знову зтикнувся з вже відомим мені редиректором, який я виявив торік, і про який писав під час MOSEB. Причому Яндекс в минулому році обіцяв зайнятися цим редиректором (і виправити дану
