Витік інформації про версію системи №4
22:48 27.03.2010Продовжу тему витоку інформації про версію системи. Як я зазначав, виведення версії системи - це поширена функція у веб додатках та веб системах. Багато різних движків виводять інформацію про версію системи і дана можливість движків є уразливістю. Це витік інформації (Information Leakage) про версію системи, що може бути використаний для атаки на сайти, що використовують даний движок.
Наведу нові приклади Information Leakage уразливостей в різних веб додатках, що приводять до витоку інформації про версію системи.
W-Agora
В W-Agora на деяких сторінках в мета-тегах виводиться версія системи (w-agora version 4.1.5).
Mantis
В Mantis (MantisBT) версію системи можна дізнатися в файлі http://site/doc/ChangeLog.
Coppermine Photo Gallery:
В CPG на кожній сторінці веб додатку виводиться його версія (Coppermine Photo Gallery v1.2.2b).
coWiki
В coWiki є декілька витоків інформації:
- На кожній сторінці в коментарі виводиться версія системи (coWiki 0.3.4).
- На кожній сторінці в мета-тезі виводиться версія системи (coWiki 0.3.4).
- На кожній сторінці виводиться версія системи (coWiki 0.3.4).
eNvolution
В eNvolution версію системи можна дізнатися в файлах /config/install_log.txt, /instalacja.txt, /instalar.txt, /install.txt, /installa.txt, /installdeu.txt, /installer.txt та /where_to_get_support.txt.