Уразливості в phpWebSite
23:51 12.07.2008Сьогодні я знайшов Insufficient Anti-automation та Cross-Site Scripting уразливості в системі phpWebSite. Дірки я виявив на її офіційному сайті http://phpwebsite.appstate.edu. Про що найближчим часом повідомлю розробникам системи.
Insufficient Anti-Automation:
На сторінці реєстрації (http://site/index.php?module=users &action=user&command=signup_user) немає захисту від автоматизованих запитів (капчі).
XSS:
POST запит на сторінці http://site/index.php?module=users &action=user&command=signup_user
"><BODY onload=alert(document.cookie)>
В полях: Password і Confirm (разом), Email Address.
XSS через GET:
Уразлива версія phpWebSite 1.5.2 та попередні версії.
Понеділок, 13:23 14.07.2008
Спасибi за iнформацiю, дуже цiкаво
Понеділок, 21:18 14.07.2008
камень
Завжди будь ласка.
Головне, не треба спамити .