Уразливості в IB Promotion Advanced Business Web Suite

15:16 09.09.2010

23.06.2010

У листопаді, 20.11.2009, я знайшов Cross-Site Scripting та Insufficient Anti-automation уразливості в IB Promotion Advanced Business Web Suite (це українська комерційна CMS). Які я виявив на сайті chr.com.ua. Про що найближчим часом повідомлю розробникам.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам системи.

09.09.2010

XSS:

http://site/search/?qs=’;alert(document.cookie);//

Це DOM Based XSS.

Insufficient Anti-automation:

http://site/register/
http://site/lostpasswd/

На даних сторінках немає захисту від автоматизованих запитів.

Уразливі IB Promotion Advanced Business Web Suite v1.0, IB Pro CMS v1.0 та IB Pro CMS v2.0. IB Promotion Advanced Business Web Suite - це попередня назва системи IB Pro CMS.

Дані уразливості досі не виправлені (ні на сайті, де я їх знайшов, ні на офіційному сайті разробників, ні на демо сайті движка, де є тільки XSS уразливість).

This entry was posted on 15:16 09.09.2010 and is filed under Уразливості. You can follow any responses to this entry through the RSS 2.0 feed.

You must be logged in to post a comment.

Websecurity - Веб безпека

Уразливості в IB Promotion Advanced Business Web Suite

Leave a Reply

Меню

Категорії

Останні повідомлення

Архів +-

Мета