Websecurity - Веб безпека

До раніше мною оприлюднених уразливостей в Power Phlogger, повідомляю про нові уразливості в даній системі для ведення статистики відвідувань. Деякий час тому, 16.02.2008 та 31.03.2009, я виявив Information Leakage, Insufficient Anti-automation та Insufficient Authentication уразливості в Power Phlogger. Про що найближчим часом повідомлю розробникам веб додатку.

Information Leakage:

В скрипті лічильника (pphlogger.js), або в коді визова скрипта з сервера системи (в параметрі id), на сайті користувача системи вказаний id, який є логіном. Що призводить до витоку логіна.

Insufficient Anti-automation:

На сторінці відновлення (створення нового) паролю (http://site/dspNewPw.php) немає захисту від автоматизованих запитів (капчі). Що може бути використано для автоматизованого проведення Abuse of Functionality атаки, про яку я вже розповідав.

Insufficient Authentication:

Дана Insufficient Authentication уразливість пов’язана з Abuse of Functionality, SQL Injection та Insufficient Anti-automation уразливостями, про які я писав раніше.

Використовуючи Abuse of Functionality можна змінювати пароль у довільного акаунта, а через SQL Injection можна дізнаватися хеш даного пароля. І можна змінювати пароль доти, доки не трапиться хеш, який вдасться легко підібрати. Дана атака автоматизується за рахунок Insufficient Anti-automation.

Уразлива версія Power Phlogger 2.2.5 та попередні версії.

Це одинадцята частина уразливостей в Power Phlogger. Найближчим часом напишу про інші уразливості в даному веб додатку.

This entry was posted on 23:55 04.04.2009 and is filed under Уразливості. You can follow any responses to this entry through the RSS 2.0 feed.