Нові уразливості на www.ibm.com

23:55 04.11.2009

У березні, 10.03.2009, я знайшов Insufficient Anti-automation та Abuse of Functionality уразливості на http://www.ibm.com - сайті компанії IBM. Яка є секюріті компанією (після купівлі ISS і Watchfire). Про що найближчим часом сповіщу адміністрацію сайта.

Раніше я вже писав про уразливості на www.ibm.com.

Insufficient Anti-automation:

В формі “E-mail this page” на сторінках сайта http://www.ibm.com (www.ibm.com, www-01.ibm.com та інших доменах) немає захисту від автоматизованих запитів (капчі).

Abuse of Functionality:

В даній формі можна вказати емайл, ім’я та призвіще отримувача, емайл, ім’я та призвіще відправника, тому її можна використати для розсилання спаму. А з врахуванням функції “Send me a copy of this e-mail” та Insufficient Anti-automation, дана уразливість створює з форми цілий Spam Gateway.


Leave a Reply

You must be logged in to post a comment.