Websecurity - Веб безпека

У березні, 17.03.2010, я знайшов Insufficient Anti-automation та Denial of Service уразливості в системі NovaBoard. Про що найближчим часом сповіщу розробників.

Уразливості наявні в скрипті капчі CaptchaSecurityImages.php, що використовується в даній системі. Про уразливості в CaptchaSecurityImages я вже розповідав.

Insufficient Anti-automation:

http://site/scripts/php/captcha/CaptchaSecurityImages.php?width=150&height=100

Можливий обхід капчі через напівавтоматизований або автоматизований (з використанням OCR) методи, що були згадані раніше. Значення characters фіксоване.

DoS:

http://site/scripts/php/captcha/CaptchaSecurityImages.php?width=1000&height=9000

Вказавши великі значення width і height можна створити велике навантаження на сервер.

Уразливі NovaBoard 1.1.2 та попередні версії.

This entry was posted on 23:55 02.04.2010 and is filed under Уразливості. You can follow any responses to this entry through the RSS 2.0 feed.