Нові уразливості в Power Phlogger
23:55 04.04.2009До раніше мною оприлюднених уразливостей в Power Phlogger, повідомляю про нові уразливості в даній системі для ведення статистики відвідувань. Деякий час тому, 16.02.2008 та 31.03.2009, я виявив Information Leakage, Insufficient Anti-automation та Insufficient Authentication уразливості в Power Phlogger. Про що найближчим часом повідомлю розробникам веб додатку.
Information Leakage:
В скрипті лічильника (pphlogger.js), або в коді визова скрипта з сервера системи (в параметрі id), на сайті користувача системи вказаний id, який є логіном. Що призводить до витоку логіна.
Insufficient Anti-automation:
На сторінці відновлення (створення нового) паролю (http://site/dspNewPw.php) немає захисту від автоматизованих запитів (капчі). Що може бути використано для автоматизованого проведення Abuse of Functionality атаки, про яку я вже розповідав.
Insufficient Authentication:
Дана Insufficient Authentication уразливість пов’язана з Abuse of Functionality, SQL Injection та Insufficient Anti-automation уразливостями, про які я писав раніше.
Використовуючи Abuse of Functionality можна змінювати пароль у довільного акаунта, а через SQL Injection можна дізнаватися хеш даного пароля. І можна змінювати пароль доти, доки не трапиться хеш, який вдасться легко підібрати. Дана атака автоматизується за рахунок Insufficient Anti-automation.
Уразлива версія Power Phlogger 2.2.5 та попередні версії.
Це одинадцята частина уразливостей в Power Phlogger. Найближчим часом напишу про інші уразливості в даному веб додатку.