Websecurity - Веб безпека

У березні, 17.03.2010, я знайшов Insufficient Anti-automation та Denial of Service уразливості в системі MiniManager for Project MANGOS. Про що найближчим часом сповіщу розробників.

Уразливості наявні в скрипті капчі CaptchaSecurityImages.php, що використовується в даній системі. Про уразливості в CaptchaSecurityImages я вже розповідав.

Insufficient Anti-automation:

http://site/libs/captcha/CaptchaSecurityImages.php?width=150&height=100&characters=2

Можливий обхід капчі як через напівавтоматизований або автоматизований (з використанням OCR) методи, що були згадані раніше, так і з використанням метода session reusing with constant captcha bypass method, описаного в проекті MoBiC.

DoS:

http://site/libs/captcha/CaptchaSecurityImages.php?width=1000&height=9000

Вказавши великі значення width і height можна створити велике навантаження на сервер.

Уразливі MiniManager for Project MANGOS 0.15 та попередні версії.

А також вразливі наступні системи: Land of Legends Manager (LoL Manager), який зроблений на основі MiniManager for Project MANGOS та WoWCrackz MaNGOS, який зроблений на основі MiniManager for Project MANGOS.

This entry was posted on 23:57 23.03.2010 and is filed under Уразливості. You can follow any responses to this entry through the RSS 2.0 feed.