Websecurity - Веб безпека

У квітні, 15.04.2009, я знайшов Abuse of Functionality та Insufficient Anti-automation уразливості на проекті http://yashik.tv (відео хостінг). Як я нещодавно вияснив, проект yashik.tv змінів домен на video.tochka.net (і від зміни домена дірки нікуди не ділися).

Дані уразливості подібні до уразливостей на www.google.com та на багатьох інших сайтах.

Abuse of Functionality:

На сторінці реєстрації http://video.tochka.net/register/ функція “Проверить”, яка призначена для перевірки чи вільний даний логін, дозволяє дізнатися логіни користувачів в системі. В тому числі, Login Enumeration атаку можна провести через GET запит: http://video.tochka.net/register/check_username/?login=test.

Insufficient Anti-automation:

Враховучи, що дана функція немає захисту від автоматизованих атак, це дозволяє проводити автоматизоване виявлення логінів користувачів. Що може бути зроблено за допомогою брутфорсерів логінів, зокрема, моєї програми Brute force login identifier.

В подальшому виявлені логіни можуть бути використані для визначення паролів користувачів сайта.

This entry was posted on 23:51 10.12.2009 and is filed under Уразливості. You can follow any responses to this entry through the RSS 2.0 feed.