Уразливості на www.zemerl.com
20:03 29.09.200915.07.2009
У листопаді, 08.11.2008, я знайшов SQL Injection та Cross-Site Scripting уразливості на проекті http://www.zemerl.com. Про що найближчим часом сповіщу адміністрацію проекту.
Детальна інформація про уразливості з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.
29.09.2009
SQL Injection:
http://www.zemerl.com/cgi-bin/search.pl?language=-1'%20or%20version()%3D5%20limit%200,1%23
XSS (через SQL Injection):
Дані уразливості досі не виправлені.
Зазначу, що в 2008 році WAF на сервері не було, а 15.07.2009 я виявив, що вони встановили ModSecurity. Але для XSS уразливості я його легко обійшов (своїм методом обхода WAF, який я розробив ще в 2006 році), а проти SQL Injection уразливості ModSecurity взагалі не спрацював.
