Websecurity - Веб безпека

31.08.2010

У квітні, 03.04.2010, я знайшов Insufficient Anti-automation та Denial of Service уразливості в CMS SiteLogic. Це українська комерційна CMS. Уразливості виявив на одному сайті, що використовує даний движок (про інші дірки на якому я вже згадував). Про що найближчим часом повідомлю розробникам.

Раніше я вже писав про уразливості в CMS SiteLogic.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам системи.

17.11.2010

Insufficient Anti-automation:

http://site/?mid=1

В контактній формі немає захисту від автоматизованих запитів (капчі).

DoS:

Пустий POST запит на сторінці http://site в полі “Пошук по сайту” виводить всі записи з БД.

DoS:

http://site/?mid=1&action=arhiv

На сторінці архіву виводяться всі записи з БД.

This entry was posted on 15:28 17.11.2010 and is filed under Уразливості. You can follow any responses to this entry through the RSS 2.0 feed.