Websecurity - Веб безпека

16.09.2010

У травні, 15.05.2010, я знайшов Insufficient Anti-automation та Abuse of Functionality уразливості в Joomla. Уразливості мають місце в компоненті com_contact, що є стандартним компонентом Joomla. Які я виявив на сайті www.school.gov.ua. Про що найближчим часом повідомлю розробникам.

Про подібні уразливості я писав в статті Розсилка спаму через сайти та створення спам-ботнетів.

Також раніше я вже писав про уразливості в DS-Syndicate для Joomla.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам системи.

27.11.2010

Insufficient Anti-automation:

http://site/contact/

На сторінці контактів немає захисту від автоматизованих запитів (капчі).

Abuse of Functionality:

http://site/contact/

Опція “E-mail a copy of this message to your own address.” на сторінці контактів дозволяє розсилати спам з сайта на довільні емайли. А з використанням Insufficient Anti-automation уразливості можна автоматизовано розсилати спам з сайта в великих обсягах.

Уразливі всі версії Joomla з даним функціоналом (Joomla! 1.5.22 та попередні версії).

Розробники Joomla відмовилися виправляти дані уразливості в своїй системі.

This entry was posted on 15:21 27.11.2010 and is filed under Уразливості. You can follow any responses to this entry through the RSS 2.0 feed.