=/= Analiza sigurnosti, MyCity.co.yu =/=
_ 2007-07-05 11:51:47 _

Analiza sigurnosti "Prvog virtuelnog grada na Balkanu"

U saradnji sa administratorom (Predrag Damnjanovic) foruma MyCity.co.yu,
proteklih desetak dana sproveden je "Web Application Remote Penetration Test", i
dosli smo do sledecih sledecih rezultata:

1. XSS, BB IMG CODE
- prepravka skripta koji je zaduzen za akcije sa BB tagovima je dovela do
sigurnosnog propusta koji omogucava unosenje javascript i/ili html koda u okviru
samih BB tagova i ujedno njegovo izvrsavanje.

2. SQL Injection, news.php
- Posebno modifikovanim parametrima, koji se prosledjuju skriptu news.php,
moguce je izazvati gresku u SQL upitu i tako doci do vitalnih informacija o
sistemu.

Pronadjeni su i drugi, manje opasni, propusti i svi su uspesno ispravljeni od
strane administratora. Rad na sigurnosti ovog foruma ce se nastaviti i ubuduce,
i redovno ce se objavljivati sve izmene.


7.05.2007
Ivan Markovic