Insufficient Anti-automation та DoS в CMS SiteLogic
15:28 17.11.201031.08.2010
У квітні, 03.04.2010, я знайшов Insufficient Anti-automation та Denial of Service уразливості в CMS SiteLogic. Це українська комерційна CMS. Уразливості виявив на одному сайті, що використовує даний движок (про інші дірки на якому я вже згадував). Про що найближчим часом повідомлю розробникам.
Раніше я вже писав про уразливості в CMS SiteLogic.
Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам системи.
17.11.2010
Insufficient Anti-automation:
http://site/?mid=1
В контактній формі немає захисту від автоматизованих запитів (капчі).
DoS:
Пустий POST запит на сторінці http://site в полі “Пошук по сайту” виводить всі записи з БД.
DoS:
http://site/?mid=1&action=arhiv
На сторінці архіву виводяться всі записи з БД.