Websecurity - Веб безпека

Продовжу тему витоку інформації про версію системи. Як я зазначав, виведення версії системи - це поширена функція у веб додатках та веб системах. Багато різних движків виводять інформацію про версію системи і дана можливість движків є уразливістю. Це витік інформації (Information Leakage) про версію системи, що може бути використаний для атаки на сайти, що використовують даний движок.

Наведу нові приклади Information Leakage уразливостей в різних веб додатках, що приводять до витоку інформації про версію системи.

W-Agora

В W-Agora на деяких сторінках в мета-тегах виводиться версія системи (w-agora version 4.1.5).

Mantis

В Mantis (MantisBT) версію системи можна дізнатися в файлі http://site/doc/ChangeLog.

Coppermine Photo Gallery:

В CPG на кожній сторінці веб додатку виводиться його версія (Coppermine Photo Gallery v1.2.2b).

coWiki

В coWiki є декілька витоків інформації:

• На кожній сторінці в коментарі виводиться версія системи (coWiki 0.3.4).
• На кожній сторінці в мета-тезі виводиться версія системи (coWiki 0.3.4).
• На кожній сторінці виводиться версія системи (coWiki 0.3.4).

eNvolution

В eNvolution версію системи можна дізнатися в файлах /config/install_log.txt, /instalacja.txt, /instalar.txt, /install.txt, /installa.txt, /installdeu.txt, /installer.txt та /where_to_get_support.txt.

This entry was posted on 22:48 27.03.2010 and is filed under Уразливості, Статті. You can follow any responses to this entry through the RSS 2.0 feed.