Websecurity - Веб безпека

У червні, 14.06.2008, я знайшов Insufficient Anti-automation, Abuse of Functionality та Brute Force уразливості на https://www.zerodayinitiative.com - секюріті сайті Zero Day Initiative. Про що найближчим часом сповіщу адміністрацію сайта.

Insufficient Anti-automation:

https://www.zerodayinitiative.com/portal/login/
https://www.zerodayinitiative.com/portal/password_reset/
https://www.zerodayinitiative.com/portal/register/

Форми логіну, відновлення паролю та реєстрації не мають захисту від автоматизованих запитів (капчі). Відсутність захисту від автоматизованих запитів є звичайним явищем на сайтах про безпеку та сайтах секюріті компаній, як у випадку Sophos та bugtraq.ru.

Abuse of Functionality:

https://www.zerodayinitiative.com/portal/password_reset/

Через дану форму можна дізнатися логіни користувачів на сайті.

Brute Force:

https://www.zerodayinitiative.com/portal/login/

Через дану форму можна дізнатися паролі користувачів на сайті. А попередня уразливість, що дає змогу дізнатися логіни, як раз стане для цього в нагоді.

This entry was posted on 23:53 23.03.2009 and is filed under Уразливості. You can follow any responses to this entry through the RSS 2.0 feed.