Websecurity - Веб безпека

У березні, 23.03.2009, я знайшов Information Leakage та Insufficient Anti-automation уразливості в форумному движку Invision Power Board. Окрім раніше згаданих Abuse of Functionality в IPB, що призводили до Information Leakage, для виявлення логінів на форумі є ще одна уразливість.

Information Leakage:

http://site/index.php?act=Login

В IPB існує ще одна можливість проведення Login Enumeration. На сторінці логіна виводяться різні надписи у випадку якщо вірний логін (з невірним паролем) і якщо невірний логін (з невірним паролем).

В російскій версії Invision Power Board у випадку вірного логіна виводиться повідомлення “Невозможно найти пользователя с введенными вами данными”. А у випадку невірного логіна - “Имя пользователя и пароль неверны”. Це в IPB 2.х, а в IPB 1.х інші повідомлення.

Insufficient Anti-automation:

В даному випадку, як і в попередньому, наявна Insufficient Anti-automation уразливість, що дозволяє проводити автоматизоване виявлення логінів в системі. Що може бути зроблено за допомогою брутфорсерів логінів, зокрема, моєї програми Brute force login identifier.

В подальшому виявлені логіни можуть бути використані для визначення паролів користувачів системи.

Уразливі Invision Power Board 2.3.6 та попередні версії (всі версії IPB 1.х та 2.х). В IPB 3 уразливості вже виправлені (схоже, що розробники IPB прислухалися до моїх порад після повідомлення про попередні уразливості).

This entry was posted on 23:53 20.11.2009 and is filed under Уразливості. You can follow any responses to this entry through the RSS 2.0 feed.