Websecurity - Веб безпека

Після попередніх уразливостей на adbroker.ru, у серпні, 20.08.2007, я знайшов нові уразливості на проекті http://adbroker.ru (веб брокер), зокрема Insufficient Anti-automation та Full path disclosure уразливості.

Повідмоляти в новинах на сайті про ці уразливості я не поспішав, бо адміни брокера не виправляли попередні дірки та й були винні мені гроші. Про що я вже писав. Тому я відклав на інший раз публікацію даних уразливостей. Зараз адміни adbroker.ru, як я вже писав, виправили всі попередні уразливості шляхом заміни старого кода системи, на новий (також дірявий).

Insufficient Anti-automation:

http://adbroker.ru/user_login.php (в капчі)
http://adbroker.ru/register.php (в капчі)
http://adbroker.ru/contact_us.php (була відсутня капча)

Капча на сайті adbroker.ru була вразлива до MustLive CAPTCHA bypass method, про який я писав в проекті MoBiC.

Full path disclosure:

http://adbroker.ru/includes/classes/class_campaign.php

http://adbroker.ru/includes/classes/class_order.php

http://adbroker.ru/includes/classes/class_site.php

http://adbroker.ru/includes/classes/class_user.php

http://adbroker.ru/includes/main_inc.php

http://adbroker.ru/includes/tabs.php

Зазначу, що зараз на сайті використовується та сама вразлива капча. Тому Insufficient Anti-automation уразливості на сайті все ще актуальні на всіх сторінках з капчою.

This entry was posted on 23:59 13.05.2010 and is filed under Уразливості. You can follow any responses to this entry through the RSS 2.0 feed.