Новости бизнесаСтатьиАналитические колонкиДеньгиКурс валютБизнес технологии
Главная > Новости бизнеса > Hi-Tech > В популярном веб-приложении нашли опасные уязвимости

В популярном веб-приложении нашли опасные уязвимости

Четверг, 17 февраля 2005 г.

Следите за нами в ВКонтакте, Facebook'e и Twitter'e

Эксперты по информационной безопасности обнаружили множество уязвимостей в программе CitrusDB.

CitrusDB - популярное веб-приложение с открытым исходным кодом для работы с базами данных; его используют во многих системах электронной торговли. Найденные уязвимости позволяют удаленному пользователю обойти авторизацию, получить доступ к данным других пользователей, в том числе к информации о кредитных картах, произвести SQL-инъекцию, выполнить произвольный php-сценарий.

Уязвимость существует в механизме проверки подлинности пользователя, которая выполняется на основе имени пользователя и идентификатора хеша, передаваемых с помощью файлов cookie (для всех пользователей идентификатором является строка boogaadeeboo). Имя пользователя и идентификатор хешируются с помощью md5-алгоритма. Зная логин администратора (по умолчанию admin), удаленный пользователь может изменить свой файл cookie и получить административный доступ к CitrusDB.

В программе отсутствует проверка подлинности пользователей в сценариях /citrusdb/tools/importcc.php и ./citrusdb/tools/uploadcc.php. Удаленный авторизованный пользователь может загрузить произвольный cvs-файл, содержащий некорректные данные кредитных карт, а также получить доступ к временным файлам, в которых хранятся данные о кредитных картах других пользователей. Также, удаленный пользователь может произвести SQL-инъекцию из-за отсутствия должной проверки в сценарии импорта данных в БД.

Для подключения внешних модулей используется сценарий /citrusdb/tools/index.php. Удаленный авторизованный пользователь может в качестве параметра переменной load в HTTP GET запросе указать произвольный php-сценарий, сохраненный на локальном сервере, который будет выполнен с привилегиями веб-сервера.

"Дыры" находятся в CitrusDB 0.3.6 и более ранних версий. Для указанных уязвимостей уже существует эксплоит. Способов устранения уязвимостей пока нет, сообщил Securitylab.

Следите за нами в ВКонтакте, Facebook'e и Twitter'e


Просмотров: 352
Рубрика: Hi-Tech
(CY)

Архив новостей / Экспорт новостей

Ещё новости по теме:

18: 20
Вслед за S8+ в Сети появились характеристики Galaxy S8 |
18: 00
5 бесплатных приложений, которые скоро станут платными |
17: 40
Новые возможности обеспечения узнаваемости бренда |
17: 40
Скидки на 4G-смартфоны Xiaomi с бесплатной доставкой |
17: 40
Apple iPhone 8: новые подробности |
17: 00
Выход 10,5-дюймового iPad отложен до мая или июня |
17: 00
Кухонный химик Али Бузари рассказывает, почему еда должна быть не только здоровой, но и вкусной |
17: 00
Загадочные аксионы: LIGO может обнаружить частицы темной материи |
17: 00
Опыт на $100 тысяч: как три «белых воротничка» запустили первый казахстанский стартап в сфере электронного документооборота |
16: 40
Версия Ubuntu для китайского рынка переходит с Unity на новое окружение UKUI на основе Mate |
16: 40
Бесплатные азартные игры без авторизации: заходи и побеждай! |
16: 40
Конец проекта «Кидалово» со смартфоном за $4 |
16: 40
Добегалась! Умные часы спалили обманщицу |
16: 20
Xiaomi Mi 6 порадует соотношением дисплея к передней панели |
15: 40
По оценке Morgan Stanley, смартфон iPhone 8 привлечет аудиторию повышенной автономностью |
15: 20
Waymo подала в суд на Uber, обвинив последнюю в краже технологий |
14: 40
Если Windows задолбала. Что ожидать от macOS и как в ней разобраться |
14: 40
Готовимся к "Оскару": самые крутые технические киноистории 2016/17 |
14: 20
Сегодня Стиву Джобсу исполнилось бы 62 года |
14: 00
Что общего у обычной батарейки и ракеты? |
14: 00
Лучшие классические и новые азартные приложения |
14: 00
Компания Universal Display отчиталась за последний квартал 2016 года и год в целом |
14: 00
Insta360 выпустит панорамную камеру Honor VR для смартфонов Huawei |
13: 40
Азартный отдых для тех, кто всегда стремится к победе |
13: 40
Лучшие азартные приложения для развлечений |
13: 20
Nissin анонсирует вспышку с радиоуправлением, которая не боится перегрева |
13: 20
Аналитик утверждает, что на Xiaomi Mi6 не отразится дефицит SoC Snapdragon 835 |
13: 20
Планшет Samsung Galaxy Book получит стилус S Pen и Windows 10 |
13: 20
Загорелся iPhone 7 Plus, Apple пообещала разобраться |
13: 20
Представлена первая беспроводная зарядка для iPhone с дальностью действия полметра |
13: 00
В Википедии годами идут тихие войны ботов |
Новости бизнесаСтатьиАналитические колонкиДеньгиКурс валютБизнес технологии
Rating@Mail.ru
Условия размещения рекламы

Наша редакция

Обратная связь

RosInvest.Com не несет ответственности за опубликованные материалы и комментарии пользователей. Возрастной цензор 16+.

Ответственность за высказанные, размещённую информацию и оценки, в рамках проекта RosInvest.Com, лежит полностью на лицах опубликовавших эти материалы. Использование материалов, допускается со ссылкой на сайт RosInvest.Com.

Skype: rosinvest.com (Русский, English, Zhōng wén).

Архивы новостей за: 2016, 2015, 2014, 2013, 2012, 2011, 2010, 2009, 2008, 2007, 2006, 2005, 2004, 2003

Декабрь 2004: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31