Новости бизнесаСтатьиАналитические колонкиДеньгиКурс валютБизнес технологии
Главная > Новости бизнеса > Hi-Tech > В популярном веб-приложении нашли опасные уязвимости

В популярном веб-приложении нашли опасные уязвимости

Четверг, 17 февраля 2005 г.

Следите за нами в ВКонтакте, Facebook'e и Twitter'e

Эксперты по информационной безопасности обнаружили множество уязвимостей в программе CitrusDB.

CitrusDB - популярное веб-приложение с открытым исходным кодом для работы с базами данных; его используют во многих системах электронной торговли. Найденные уязвимости позволяют удаленному пользователю обойти авторизацию, получить доступ к данным других пользователей, в том числе к информации о кредитных картах, произвести SQL-инъекцию, выполнить произвольный php-сценарий.

Уязвимость существует в механизме проверки подлинности пользователя, которая выполняется на основе имени пользователя и идентификатора хеша, передаваемых с помощью файлов cookie (для всех пользователей идентификатором является строка boogaadeeboo). Имя пользователя и идентификатор хешируются с помощью md5-алгоритма. Зная логин администратора (по умолчанию admin), удаленный пользователь может изменить свой файл cookie и получить административный доступ к CitrusDB.

В программе отсутствует проверка подлинности пользователей в сценариях /citrusdb/tools/importcc.php и ./citrusdb/tools/uploadcc.php. Удаленный авторизованный пользователь может загрузить произвольный cvs-файл, содержащий некорректные данные кредитных карт, а также получить доступ к временным файлам, в которых хранятся данные о кредитных картах других пользователей. Также, удаленный пользователь может произвести SQL-инъекцию из-за отсутствия должной проверки в сценарии импорта данных в БД.

Для подключения внешних модулей используется сценарий /citrusdb/tools/index.php. Удаленный авторизованный пользователь может в качестве параметра переменной load в HTTP GET запросе указать произвольный php-сценарий, сохраненный на локальном сервере, который будет выполнен с привилегиями веб-сервера.

"Дыры" находятся в CitrusDB 0.3.6 и более ранних версий. Для указанных уязвимостей уже существует эксплоит. Способов устранения уязвимостей пока нет, сообщил Securitylab.

Следите за нами в ВКонтакте, Facebook'e и Twitter'e


Просмотров: 349
Рубрика: Hi-Tech
(CY)

Архив новостей / Экспорт новостей

Ещё новости по теме:

18: 41
Тостер для хот-догов: и булка, и сосиска в одном приборе |
18: 41
Физики впервые сняли на видео "ударную волну" света |
17: 41
«Фермерские хозяйства в текущем виде не спасут, а погубят планету»: фермер о перспективах органической пищи |
17: 21
Qt 5.8 |
17: 01
Стали известны характеристики планшета Samsung Galaxy Tab S3 |
16: 41
Найден способ отличить фейковые новости от настоящих |
16: 41
Учёные решили сканировать деревья |
16: 41
Тиранозавров-девочек научились определять по особенностям скелета |
16: 21
Приморский юрист рассказал о победе в суде по отмене блокировки порносайта Youporn в России |
16: 01
По прогнозу Technavio, рынок аккумуляторов для носимой электроники в ближайшие годы ждет стремительный рост |
16: 01
ASUS Tinker Board оказался "прокаченным" конкурентом Raspberry Pi |
15: 41
Samsung объяснила, почему взрывались Galaxy Note 7 |
15: 41
Аудиостатья: ситуативная готовность, или как всегда быть начеку? |
15: 21
Samsung включает зарядку-разрядку в перечень тестов для аккумуляторов мобильных устройств |
15: 21
У Xiaomi появился первый официальный представитель в России |
15: 01
Пентагону нужны электромагнитные снаряды |
14: 41
Специалисты Technavio навали движущую силу роста рынка суперкомпьютеров на ближайшие годы |
14: 41
Электромобили Tesla на базе аппаратной платформы второго поколения получили обновленный автопилот |
14: 21
На выпуск миниатюрной камеры для машинного зрения JeVois собрано более $100 000 |
14: 01
Олег Тиньков вернулся в список миллиардеров по версии Forbes после роста акций «Тинькофф банка» |
13: 41
Если надоел треш в App Store, иди и исправь все сам |
13: 21
Incharp — беспроводные зарядные устройства для установки в общественных заведениях |
13: 21
В России подешевели AirPods. И заказавших это коснётся |
13: 01
Новая линейка драйверов и эталонная реализация EGL/Wayland от Nvidia |
12: 41
Акции Apple выросли до максимального значения с 2015 года |
12: 41
Как поменять аккумулятор в автомобиле своими руками? |
12: 41
Патент недели: платформа-ледокол |
12: 41
Контрольная «Выходи решать!»: участники могут пройти пробный тест |
12: 21
«Коммерсантъ»: Банки попросят ЦБ не вводить обязательство по переводу средств бюджетников на карты «Мир» |
12: 21
Twitter продаёт платформу Fabric компании Google |
12: 01
Питч-презентация Theranos для инвесторов в 2006 году: целевой рынок и преимущества перед конкурентами |
Новости бизнесаСтатьиАналитические колонкиДеньгиКурс валютБизнес технологии
Rating@Mail.ru
Условия размещения рекламы

Наша редакция

Обратная связь

RosInvest.Com не несет ответственности за опубликованные материалы и комментарии пользователей. Возрастной цензор 16+.

Ответственность за высказанные, размещённую информацию и оценки, в рамках проекта RosInvest.Com, лежит полностью на лицах опубликовавших эти материалы. Использование материалов, допускается со ссылкой на сайт RosInvest.Com.

Skype: rosinvest.com (Русский, English, Zhōng wén).

Архивы новостей за: 2016, 2015, 2014, 2013, 2012, 2011, 2010, 2009, 2008, 2007, 2006, 2005, 2004, 2003

Февраль 2013: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28