Websecurity - Веб безпека

02.09.2009

У січні, 19.01.2009, я знайшов Insufficient Anti-automation та Abuse of Functionality уразливості в компоненті ALFcontact (com_alfcontact) для Joomla. Це форма відправки повідомлень власнику сайта. Дані уразливості я виявив на одному веб сайті. Про що найближчим часом повідомлю розробникам.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам веб додатка.

16.10.2009

Insufficient Anti-automation:

http://site/option,com_alfcontact/

На сторінці контактів немає захисту від автоматизованих запитів (капчі).

Abuse of Functionality:

http://site/option,com_alfcontact/

Опція “Send copy to own email address” на сторінці контактів дозволяє розсилати спам з сайта.

Уразливі різні версії ALFcontact. До першої дірки уразливі старі версії, до ALFcontact 1.8 в якій з’явилася капча (у випадку якщо вона активована), а до другої дірки вразливі всі версії.

Розробник ALFcontact для Joomla пообіцяв виправити дані та інші уразливості в даному компоненті.

This entry was posted on 19:24 16.10.2009 and is filed under Уразливості. You can follow any responses to this entry through the RSS 2.0 feed.