Уразливості на www.zerodayinitiative.com
23:53 23.03.2009У червні, 14.06.2008, я знайшов Insufficient Anti-automation, Abuse of Functionality та Brute Force уразливості на https://www.zerodayinitiative.com - секюріті сайті Zero Day Initiative. Про що найближчим часом сповіщу адміністрацію сайта.
Insufficient Anti-automation:
https://www.zerodayinitiative.com/portal/login/
https://www.zerodayinitiative.com/portal/password_reset/
https://www.zerodayinitiative.com/portal/register/
Форми логіну, відновлення паролю та реєстрації не мають захисту від автоматизованих запитів (капчі). Відсутність захисту від автоматизованих запитів є звичайним явищем на сайтах про безпеку та сайтах секюріті компаній, як у випадку Sophos та bugtraq.ru.
Abuse of Functionality:
https://www.zerodayinitiative.com/portal/password_reset/
Через дану форму можна дізнатися логіни користувачів на сайті.
Brute Force:
https://www.zerodayinitiative.com/portal/login/
Через дану форму можна дізнатися паролі користувачів на сайті. А попередня уразливість, що дає змогу дізнатися логіни, як раз стане для цього в нагоді.