Федеральні обвинувачі США підозрюють українського емігранта Юрія Рябініна, також відомого як Юрій Ракушинець, у хакерському взломі сервера Citibank.Як повідомляється, розслідування хакерського проникнення в сервер Citibank, що обробляє зняття готівки у банкоматах, привело до двох жителів Брукліна, якими виявилися Рябінін і
У жовтні, 30.10.2007, я знайшов Cross-Site Scripting уразливості в модулі WordPress ME для XOOPS. Які я перевірив на одному сайті, де і використовується даний плагін для XOOPS.Детальна інформація про уразливості з'явиться пізніше. Спочатку повідомлю розробникам движка та плагіна.
Ще в позаминулому році, 28.09.2006, я знайшов Cross-Site Scripting та Redirector уразливості на проекті http://dnevnik.bigmir.net. І ці уразливості як були довгий час на сервісі блогів Бігміра до вказаної дати, так й залишилися після неї - вони по сьогодні так і
В минулому році виявлене переповнення буфера у функції PHP msql_connect.Уразливі версії: PHP 5.2.Переповнення буфера стекової пам'яті на довгому аргументі.PHP mSQL (msql_connect) Buffer Overflow PoC (деталі)
У жовтні, 30.10.2007, я знайшов Cross-Site Scripting та Insufficient Anti-automation уразливості в системі Contrexx CMS. Як раз коли виявив уразливості на www.astalavista.com, де і використовується цей движок.Детальна інформація про уразливості з'явиться пізніше. Спочатку повідомлю розробникам системи.
У жовтні, 30.10.2007, я знайшов Cross-Site Scripting та Insufficient Anti-automation уразливості на хакерському сайті http://www.astalavista.com. Про що найближчим часом сповіщу адміністрацію сайта.Детальна інформація про уразливості з'явиться пізніше.
В минулому році була виявлена можливість обходу захисту безпечного режиму через htaccess в PHP (protection bypass).Уразливі версії: PHP 4.4, PHP 5.2.Можлива маніпуляція роботою різних функцій, таких як session_save_path() та ini_set() через змінні htaccess.PHP 5.2.4 mail.force_extra_parameters unsecure (деталі)PHP 5.2.3 PHP 4.4.7,
У жовтні, 27.10.2007, я знайшов Full path disclosure, SQL DB Structure Extraction, SQL Injection, Cross-Site Scripting та Insufficient Anti-automation уразливості в системі Nucleus. Раніше я вже згадував про деякі з цих уразливостей в даному движку.Детальна інформація про уразливості з'явиться пізніше.
Виявлена можливість DoS атаки через Sleep() в PHP.Уразливі версії: PHP 5.2.6 та попередні.Час функції Sleep() не обмежений max_execution_time, що може привести до вичерпання ресурсів.function sleep() in all versions of PHP (деталі)
13.02.2008У липні, 12.07.2007, я знайшов Cross-Site Scripting уразливості на проекті http://exchengine.ru (сервіс обміну веб грошей). Про що найближчим часом сповіщу адміністрацію проекту.Останній раз стосовно обмінників веб грошей я згадував про уразливість на onlinechange.com.Детальна інформація про уразливості з'явиться уразливості вже виправлені.
У жовтні, 29.10.2007, а також додатково сьогодні, я знайшов Cross-Site Scripting та Redirector уразливості на проекті http://www.gravatar.com. Про що найближчим часом сповіщу адміністрацію проекту.Детальна інформація про уразливості з'явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.
В статті Advosys Web Tips: Detecting CGI script abuse розповідається про один цікавий і давній метод визначення спроб сканування уразливостей у веб додатках. Зокрема сканування CGI скриптів. Але окрім Perl та інших CGI додатків, даний метод також може застосовуватися для
Служба безпеки України з'ясувала особистість зловмисника, що взломав у лютому нинішнього року офіційний сайт мерії і міськради Одеси.Як повідомляє прес-служба СБУ, до взлому сайта причетний громадянин однієї із сусідніх країн, що тимчасово проживає на території України. У ході слідства також
11.02.2008У липні, 11.07.2007, я знайшов Cross-Site Scripting уразливість на проекті http://shop.a.ua (пошук інтернет-магазинів порталу A.UA). Про що найближчим часом сповіщу адміністрацію проекту.Останній раз стосовно проектів A.UA я писав про уразливості на ref.a.ua.Детальна інформація про уразливості з'явиться пізніше. Треба дати час
