Межсайтовый скриптинг и SQL-инъекция в aWebNews

Программа: aWebNews 1.0, возможно другие версии.
Опасность: Средняя
Наличие эксплоита: Нет .
Описание:
Уязвимость позволяет удаленному пользователю произвести XSS нападение и выполнить произвольные SQL команды в базе данных приложения.

1. Уязвимость существует из-за недостаточной обработки входных данных в параметре «user123″ в сценариях login.php и fpass.php, и параметре «cid» в сценарии visview.php. Удаленный пользователь может с помощью специально сформированного URL выполнить произвольные SQL команды в базе данных приложения. Удачная эксплуатация уязвимости возможна при выключенной опции «magic_quotes_gpc»

2. Уязвимость существует из-за недостаточной обработки входных данных в параметрах «yname», «emailadd», «subject» и «comment» в сценарии visview.php. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольный код сценарий в браузере жертвы в контексте безопасности уязвимого сайта.

URL производителя: http://labs.aweb.com.au/awebnews.php

Решение: Способов устранения уязвимости не существует в настоящее время.

Поделиться в соц. сетях

mailru Межсайтовый скриптинг и SQL инъекция в aWebNews
facebook Межсайтовый скриптинг и SQL инъекция в aWebNews
odnoklassniki Межсайтовый скриптинг и SQL инъекция в aWebNews
livejournal Межсайтовый скриптинг и SQL инъекция в aWebNews
googlebuzz Межсайтовый скриптинг и SQL инъекция в aWebNews

Также рекомендуем:

  1. Яндекс расскажет о возможностях бизнеса в интернете Специалисты компании «Яндекс» разрабатывают не только новые опции для своей поисковой системы, но и программы бизнес-мероприятий.. Одна из таких программ сейчас проходит совершенно бесплатно. Основной целью проводимой программы является передача объективной информации представителям бизнеса о широких возможностях для развития их компаний, которые открывает перед ними всемирная паутина в целом и отдельные инструменты и сервисы поисковой [...]...
  2. Российские ученые направили письмо Путину о запрете зарубежного ПО Группа ученых институтов РАН и членов РАЕН обратилась к президенту России, министру обороны и председателям обеих палат Федерального Собрания РФ с открытым письмом, где предлагается поддержать поправку о недопустимости использования зарубежных программно-технических средств в стратегических отраслях и на особо важных (опасных) объектах Российской Федерации. Скандально известный журналист, а ныне – депутат Александр Хинштейн и группа [...]...
  3. Множественные уязвимости в Mozilla SeaMonkey Программа: Mozilla SeaMonkey версии до 1.0.1 Опасность: Высокая Наличие эксплоита: Нет . Описание: Обнаруженные уязвимости позволяют удаленному пользователю получить доступ к ванным данным и выполнить произвольный код на целевой системе. Более подробная информация об уязвимостях:Множественные уязвимости в Mozilla Firefox #15, #16, #17, #18, #19,#20 и #21. URL производителя: mozilla.org Решение: Установите последнюю версию с сайта [...]...
  4. Эксперты посчитали «дырки» в Интернет Группа экспертов, входящая в Web Application Security Consortium (http://www.webappsec.org/) – международную организацию, объединяющую профессионалов в области безопасности Web-приложений, опубликовала статистику проблем безопасности Интернет-сайтов, обнаруженных в 2006 году. При составлении документа использовались результаты работ по анализу безопасности сетей, проведенных компаниями – международными лидерами в вопросах безопасности Web-приложений: Cenzic (Hailstorm), Positive Technologies (XSpider), SPI Dynamics (WebInspect) и [...]...
  5. Allsoft.ru и «Доктор Веб» вынесли вердикт рецензиям на новый антивирус Интернет-магазин лицензионного программного обеспечения Allsoft.ru (http://allsoft.ru/) и компания «Доктор Веб» подвели итоги акции «Мой антивирус – это Dr. Web» (http://drweb.allsoft.ru/). В борьбе за ценные призы участвовали более шестидесяти человек. Главной наградой для победителя конкурса стал антивирус Dr.Web для защиты корпоративной и домашней сети с лицензией на год.. Напомним, что для участия в акции было необходимо [...]...
  6. Чем можно заниматься в Twitter’е? Основным предназначением сервиса микроблогов Twitter является предоставление возможности общения. Однако строгих рамок для пользователей не существует. Наряду с непосредственным обменом твиттами между собой, участники сервиса могут использовать и другие его возможности. Что именно? Далее будет подробно расписано о некоторых возможностях реализуемых при помощи данного сервиса. Обмениваться файлами На самом сервисе такая возможность отсутствует, но это [...]...
  7. Выпускники курса по CMS SBuilder получат сертификаты от компании-разработчика! Теперь выпускники курса смогут получить сертификат от компании-разработчика, который подтверждает высокий уровень знаний и наличие необходимых навыков для успешного применения системы управления контентом CMS SBuilder. . Будет не лишним напомнить, что разработанная компанией «СИБИЭС-Групп» (CBS-Group ltd) система управления сайтом (Content Management System) CMS S.Builder (от англ. Site Builder – строитель сайта) входит в пятерку лидеров [...]...
  8. К владельцам Torrents.ru прокуратура не имеет никаких претензий Издание «Аргументы и Факты» побеседовало с представителем Ру-Центр (RU-CENTER) Андреем Воробьевым. В ходе он-лайн конференции от А. Воробьева были получены комментарии по поводу недавно закрытого торрент-трекера Torrents.Ru. . Как известно, недавно, без каких-либо предупреждений со стороны Ру-Центр, было приостановлено делегирование домена Torrents.ru. Это было сделано по требованию прокуратуры г. Москвы. Мнение Андрея Воробьева таково, что [...]...
  9. Новость от Яндекс.Вебмастер – статистика по 10 произвольным запросам То, о чем так долго мечтали и просили веб-мастера, свершилось! Популярный сервис Яндекс.Вебмастер начал предоставлять владельцам веб-ресурсов новую услугу. Отныне веб-мастера получили возможность отследить статистику не только 25 самых популярных запросов, но и 10 произвольных поисковых запросов для каждого сайта. . Весьма полезная функция, особенно с точки зрения тех, чей контент преимущественно ориентирован на определенные [...]...
  10. Новый Google News уже тестируется Новые опции сервиса новостей Goggle News уже находятся в стадии тестирования. К новшествам создатели сервиса относят новый способ размещения новостных материалов и доступа к контенту, предоставленной редакторами.. Издание SearchEngineLand демонстрирует скриншот новой стартовой страницы. Необходимо отметить, что перемены грядут разительные. Вид стартовой страницы будет соответствовать привычным уже страницам блогов с широкими колонками и узким столбцом [...]...
  11. Новости от SAPE По сообщениям администрации биржи SAPE волна нововведений затронула и этот сервис.. Первое из них касается системы поиска. В настоящее время стал возможным поиск точного вхождения ключевого слова (фразы). В результатах отображаются только площадки с точным вхождений слов и словосочетаний в поисковом запросе. Минимальная длина запроса – 3 символа. Кроме того, пользователю стала доступна возможность сортировки [...]...
  12. Рекламная сеть Яндекса обзавелась собственным клубом Собственный официальный клуб теперь имеет рекламная сеть Яндекса, о чем ею же и было объявлено. Пользователям рекламной сети с сего момента доступны все текущие новости сервиса, а также информация об исследованиях и возможностях заработать больше.. Одним из первых пользователям на страницах клуба РСЯ было представлено исследование эффективности рекламных блоков. Работу по исследованию эффективности сотрудники РСЯ [...]...
  13. Google способствует продвижению HTTPS В конце февраля многие пользователи популярнейшего сервиса YouTube, обратили внимание на принудительное внедрение на сайте защищенного протокола HTTPS. Очевидно, что компания Google целенаправленно внедряет протокол HTTPS на всех своих сайтах. Изначально протокол HTTPS начал использоваться на наиболее требовательных к безопасности сайтах, таких как: AdWords, AdSense, Gmail, Google Docs.. На сегодняшний день защищенный протокол HTTPS используется [...]...
  14. Новый плагин поиска для Firefox от «Ашманова и Партнеров» Новый плагин для популярного браузера под названием A&P Search Tools разработан компанией «Ашманов и Партнеры». В наборе представлены инструменты для повышения удобства поиска в Сети. Так, например, они позволяют сравнить выдачи поисковых машин Google и Яндекса.. На сайте плагина представлена информация о том, что продукт осуществляет одновременный запрос к двум поисковикам, а затем комбинирует лучшие [...]...
  15. Rambler Top100 меняется Изменения в рейтинге-классификаторе произойдут незначительные. Исчезнет раздел «Экспертиза» и будут добавлены пять новых секций. . Кроме этого: добавляются новые разделы: «Женский клуб», «Промышленность», «Знакомство и общение», «Погода», «Непознанное»; объединяются разделы: «Электронная коммерция» и «Товары и Услуги», «Фармацевтика» и «Медицина», «Электроника» и «Компьютеры» (с 1 ноября 2007г.), «Театр» и «Искусство». SEONEWS обратился за комментариями к директору [...]...

Комментарии запрещены.