Новости бизнесаСтатьиНоу ХауАналитикаДеньгиБизнес технологииКурс валют
Главная > Новости бизнеса > Hi-Tech > В популярном веб-приложении нашли опасные уязвимости

В популярном веб-приложении нашли опасные уязвимости

Четверг, 17 февраля 2005 г.

Следите за нами в ВКонтакте, Facebook'e и Twitter'e

Эксперты по информационной безопасности обнаружили множество уязвимостей в программе CitrusDB.

CitrusDB - популярное веб-приложение с открытым исходным кодом для работы с базами данных; его используют во многих системах электронной торговли. Найденные уязвимости позволяют удаленному пользователю обойти авторизацию, получить доступ к данным других пользователей, в том числе к информации о кредитных картах, произвести SQL-инъекцию, выполнить произвольный php-сценарий.

Уязвимость существует в механизме проверки подлинности пользователя, которая выполняется на основе имени пользователя и идентификатора хеша, передаваемых с помощью файлов cookie (для всех пользователей идентификатором является строка boogaadeeboo). Имя пользователя и идентификатор хешируются с помощью md5-алгоритма. Зная логин администратора (по умолчанию admin), удаленный пользователь может изменить свой файл cookie и получить административный доступ к CitrusDB.

В программе отсутствует проверка подлинности пользователей в сценариях /citrusdb/tools/importcc.php и ./citrusdb/tools/uploadcc.php. Удаленный авторизованный пользователь может загрузить произвольный cvs-файл, содержащий некорректные данные кредитных карт, а также получить доступ к временным файлам, в которых хранятся данные о кредитных картах других пользователей. Также, удаленный пользователь может произвести SQL-инъекцию из-за отсутствия должной проверки в сценарии импорта данных в БД.

Для подключения внешних модулей используется сценарий /citrusdb/tools/index.php. Удаленный авторизованный пользователь может в качестве параметра переменной load в HTTP GET запросе указать произвольный php-сценарий, сохраненный на локальном сервере, который будет выполнен с привилегиями веб-сервера.

"Дыры" находятся в CitrusDB 0.3.6 и более ранних версий. Для указанных уязвимостей уже существует эксплоит. Способов устранения уязвимостей пока нет, сообщил Securitylab.

Следите за нами в ВКонтакте, Facebook'e и Twitter'e


Просмотров: 364
Рубрика: Hi-Tech
(CY)

Архив новостей / Экспорт новостей

Ещё новости по теме:

18: 40
Обзор Peers.TV. Смотри телевизор на iPhone |
18: 40
Испытываем Mophie Juice Pack Air — недорогой кейс с батареей и беспроводной зарядкой! |
18: 40
Появились фотографии процессора A11 для iPhone 8 |
18: 40
Штаб-квартира: Кемеровский офис ИТ-компаний «ЭТО_» |
18: 20
Новый патент Microsoft возродил слухи о Surface Phone |
18: 00
Переборка мотора в stop-motion: технопорно |
17: 20
В Индии появились собаки голубого цвета |
17: 20
«ВКонтакте» покажет матчи чемпионата Испании по футболу после года отсутствия трансляции первенства в России |
17: 00
Большие изображения, комментарии и мемы |
16: 20
Аккумуляторы некоторых Galaxy Note 4 подвержены риску воспламенения |
16: 20
Российский военно-морской флот получит «Суперпираньи» |
11: 20
В AnTuTu доминируют смартфоны с SoC Snapdragon 835 |
11: 20
Опубликованы фотографии беспроводных ЗУ для новых смартфонов iPhone |
11: 20
CompuTach: первый тахометр для... компьютера |
11: 20
Дизайнер Xiaomi Mi Mix 2 показал, как будет выглядеть новый безрамочный смартфон |
11: 00
Представители HMD намекнули на создание Nokia 9 |
11: 00
ASUS пообеoала обновить до Android O все ZenFone 3 и ZenFone 4 |
10: 20
Самый волосатый автомобиль и другие странные авторекорды Гиннесса |
10: 20
«Ведомости»: в международный комитет по разработке стандарта блокчейна вошёл сотрудник ФСБ |
10: 00
В Китае запустили первый онлайн-суд |
10: 00
Почему я считаю iPhone 3G самым удачным айфоном |
09: 40
Модули памяти Galax DDR4-4133 HOF Extreme Limited Edition с хромированными радиаторами выпущены очень небольшой партией |
09: 20
Microsoft представила инновационный Coco Framework для повышения эффективности блокчейна на предприятиях |
09: 20
В Apple изобрели акустическую систему в виде массива излучателей, учитывающую местонахождение слушателя |
09: 20
УАЗ разрабатывает броневик для спецназа |
09: 20
Galax сделала доступными для предзаказа наборы ОЗУ HOF Extreme Limited Edition DDR4 |
09: 00
Доход Alibaba Group в прошлом квартале превысил 7,4 млрд долларов |
08: 40
Водоблок Alphacool Eisblock Flatboy предназначен для процессоров AMD Ryzen Threadripper |
08: 40
TrapFi — платформа для фрилансеров, которая гарантирует им получение заказов |
08: 40
Сколько стоит продвижение сайта в Краснодаре? |
08: 40
Проблема получения справки о несудимости в СНГ |
Новости бизнесаСтатьиНоу ХауАналитикаДеньгиБизнес технологииКурс валют
Rating@Mail.ru
Условия размещения рекламы

Наша редакция

Обратная связь

RosInvest.Com не несет ответственности за опубликованные материалы и комментарии пользователей. Возрастной цензор 16+.

Ответственность за высказанные, размещённую информацию и оценки, в рамках проекта RosInvest.Com, лежит полностью на лицах опубликовавших эти материалы. Использование материалов, допускается со ссылкой на сайт RosInvest.Com.

Skype: rosinvest.com (Русский, English, Zhōng wén).

Архивы новостей за: 2017, 2016, 2015, 2014, 2013, 2012, 2011, 2010, 2009, 2008, 2007, 2006, 2005, 2004, 2003