Уразливості в MiniManager for Project MANGOS
23:57 23.03.2010У березні, 17.03.2010, я знайшов Insufficient Anti-automation та Denial of Service уразливості в системі MiniManager for Project MANGOS. Про що найближчим часом сповіщу розробників.
Уразливості наявні в скрипті капчі CaptchaSecurityImages.php, що використовується в даній системі. Про уразливості в CaptchaSecurityImages я вже розповідав.
Insufficient Anti-automation:
http://site/libs/captcha/CaptchaSecurityImages.php?width=150&height=100&characters=2
Можливий обхід капчі як через напівавтоматизований або автоматизований (з використанням OCR) методи, що були згадані раніше, так і з використанням метода session reusing with constant captcha bypass method, описаного в проекті MoBiC.
DoS:
http://site/libs/captcha/CaptchaSecurityImages.php?width=1000&height=9000
Вказавши великі значення width і height можна створити велике навантаження на сервер.
Уразливі MiniManager for Project MANGOS 0.15 та попередні версії.
А також вразливі наступні системи: Land of Legends Manager (LoL Manager), який зроблений на основі MiniManager for Project MANGOS та WoWCrackz MaNGOS, який зроблений на основі MiniManager for Project MANGOS.