Нові уразливості в eSitesBuilder

15:01 16.12.2010

08.10.2010

У червні, 18.06.2010, я знайшов Cross-Site Scripting, Insufficient Anti-automation та Abuse of Functionality уразливості в eSitesBuilder (це українська комерційна CMS). Які я виявив на сайті www.allo.ua. Про що найближчим часом повідомлю розробникам.

Раніше я вже писав про уразливості в eSitesBuilder.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам системи.

16.12.2010

XSS:

http://site/console/forget.php?e_mail=%3Cscript%3Ealert(document.cookie)%3C/script%3E&seenform=y

Insufficient Anti-automation:

http://site/console/forget.php

На даній сторінці немає захисту від автоматизованих запитів (капчі).

Abuse of Functionality:

http://site/console/forget.php

Через даний функціонал можна визначати логіни користувачів.

Уразливі потенційно всі версії eSitesBuilder.

This entry was posted on 15:01 16.12.2010 and is filed under Уразливості. You can follow any responses to this entry through the RSS 2.0 feed.

You must be logged in to post a comment.

Websecurity - Веб безпека

Нові уразливості в eSitesBuilder

Leave a Reply

Меню

Категорії

Останні повідомлення

Архів +-

Мета