Архив раздела Декабрь, 2007

XSS-уязвимости в Livejournal.com

Опубликовано admin on Декабрь 25th, 2007 filed in Уязвимости

Обнаружены XSS-уязвимости в сервисе блогов Livejournal.com

Тип уязвимости: Межсайтовое выполнение сценариев (Cross-site Scripting, XSS). Недостаточная фильтрация содержимого заголовка Expect.
Приложение: Apache до версий 1.3.34/2.0.57/2.2.1 - Не исправлено на данный момент.

Пример использования:  http://www.securityfocus.com/archive/1/433280

Тип уязвимости: Межсайтовое выполнение сценариев (Cross-site Scripting, XSS). Недостаточная фильтрация GET-переменной usejournal.
Приложение: /update.bml - ?справлено.

Примеры использования:
/update.bml?usejournal=>”><script%20%0a%0d>alert(document.cookie)%3B</script>
/update.bml?usejournal=>’><script%20%0a%0d>alert(document.cookie)%3B</script>
/update.bml?usejournal=–><script%20%0a%0d>alert(document.cookie)%3B</script>
Продолжение следует…

Читать полностью..>>

Аспекты безопасности flash-приложений.

Опубликовано admin on Декабрь 19th, 2007 filed in Материалы конференций

Недавно на конференции OWASP & WASC AppSec 2007 Conference рассматривалась крайне интересная и, к сожалению, не ?ироко обсуждаемая тема безопасности flash-приложений.
Stefano Di.Paola - Finding Vulnerabilities in Flash Applications
В докладе рассмотрено множество тонких мест, потенциально представляющих опасность для клиента.  В общем, чего говорить, нужно скорее читать
(Either JavaScript is not active or you are using […]

Читать полностью..>>