Websecurity - Веб безпека

До раніше мною оприлюднених уразливостей в Power Phlogger, повідомляю про нові уразливості в даній системі для ведення статистики відвідувань. Деякий час тому, 16.02.2008 та 17.05.2008, я виявив Information leakage, Full path disclosure та Denial of Service уразливості в Power Phlogger. Про що найближчим часом повідомлю розробникам веб додатку.

Information leakage:

http://site/modules/db_dump.php

Витік назви бази даних, назви та структури таблиць.

Full path disclosure:

http://site/edit_user.php

http://site/main-dummy.php

http://site/main.php

DoS:

http://site/include/get_userdata.php

Скрипт редиректить сам на себе (зациклений редирект). Mozilla автоматично зупиняє даний зациклений редирект (видає Redirect Loop Error), а IE - ні (продовжує звертатися до сервера). Якщо клієнт, що звертається до скрипта, сам не зупинить редирект, наприклад бот пошукових систем, то це спричинить велике навантаження на сервер.

Уразлива версія Power Phlogger 2.2.5 та попередні версії.

Це четверта частина уразливостей в Power Phlogger. Найближчим часом напишу про інші уразливості в даному веб додатку.

This entry was posted on 23:56 24.05.2008 and is filed under Уразливості. You can follow any responses to this entry through the RSS 2.0 feed.