Brute Force та Abuse of Functionality уразливості в Drupal
15:25 17.02.201115.12.2010
У липні, 25.07.2010, я знайшов Brute Force та Abuse of Functionality уразливості в Drupal. Які я виявив під час секюріті аудиту на одному сайті. Про що найближчим часом повідомлю розробникам.
Раніше я вже писав про уразливість в reCAPTCHA для Drupal.
Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам системи.
17.02.2011
Brute Force:
В формі логіна (http://site/user/) не реалізований надійний захист від підбору пароля. В самому Drupal капчі немає, а існуючий Captcha модуль (а також всі плагіни до нього, такі як reCAPTCHA) є уразливим, як я вже писав.
Abuse of Functionality:
На сторінці контактів (http://site/contact) та на сторінці контакту з користувачем (http://site/user/1/contact) є можливість відправляти спам на довільні емайли через функцію “Send yourself a copy”. Атака з використанням цієї функції можлива лише для залогінених користувачів.
Для автоматизованої розсилки спаму потрібно використати раніше згадані Insufficient Anti-automation уразливості - в самому Drupal капчі немає, а існуючий качпа-модуль (та всі плагіни до нього, такі як reCAPTCHA) є уразливим.
Про подібні Abuse of Functionality уразливості я писав в статті Розсилка спаму через сайти та створення спам-ботнетів.
Abuse of Functionality:
При зверненні до визначених сторінок сайта з вказанням логіна (http://site/users/user) можна визначити існуючі логіни користувачів на сайті. Якщо виводить “Access denied” - значить такий логін є, а якщо “Page not found” - значить немає.
При зверненні до сторінок контакту з користувачем (http://site/user/1/contact) виводиться логін користувача на сайті. Атаку можна провести лише будучи залогіненим на сайті й вона спрацює лише якщо користувач включив опцію “Персональна форма контактів” в своєму профілі.
Уразливі Drupal 6.20 та попереднії версії (перевірено в Drupal 6.17).