Websecurity - Веб безпека

Сьогодні я знайшов Insufficient Anti-automation та Cross-Site Scripting уразливості в системі phpWebSite. Дірки я виявив на її офіційному сайті http://phpwebsite.appstate.edu. Про що найближчим часом повідомлю розробникам системи.

Insufficient Anti-Automation:

На сторінці реєстрації (http://site/index.php?module=users &action=user&command=signup_user) немає захисту від автоматизованих запитів (капчі).

XSS:

POST запит на сторінці http://site/index.php?module=users &action=user&command=signup_user

"><BODY onload=alert(document.cookie)>В полях: Password і Confirm (разом), Email Address.

XSS через GET:

• alert(document.cookie)
• цікавий

Уразлива версія phpWebSite 1.5.2 та попередні версії.

This entry was posted on 23:51 12.07.2008 and is filed under Уразливості. You can follow any responses to this entry through the RSS 2.0 feed.