Brute Force та Abuse of Functionality уразливості в Drupal

15:25 17.02.2011

15.12.2010

У липні, 25.07.2010, я знайшов Brute Force та Abuse of Functionality уразливості в Drupal. Які я виявив під час секюріті аудиту на одному сайті. Про що найближчим часом повідомлю розробникам.

Раніше я вже писав про уразливість в reCAPTCHA для Drupal.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам системи.

17.02.2011

Brute Force:

В формі логіна (http://site/user/) не реалізований надійний захист від підбору пароля. В самому Drupal капчі немає, а існуючий Captcha модуль (а також всі плагіни до нього, такі як reCAPTCHA) є уразливим, як я вже писав.

Abuse of Functionality:

На сторінці контактів (http://site/contact) та на сторінці контакту з користувачем (http://site/user/1/contact) є можливість відправляти спам на довільні емайли через функцію “Send yourself a copy”. Атака з використанням цієї функції можлива лише для залогінених користувачів.

Для автоматизованої розсилки спаму потрібно використати раніше згадані Insufficient Anti-automation уразливості - в самому Drupal капчі немає, а існуючий качпа-модуль (та всі плагіни до нього, такі як reCAPTCHA) є уразливим.

Про подібні Abuse of Functionality уразливості я писав в статті Розсилка спаму через сайти та створення спам-ботнетів.

Abuse of Functionality:

При зверненні до визначених сторінок сайта з вказанням логіна (http://site/users/user) можна визначити існуючі логіни користувачів на сайті. Якщо виводить “Access denied” - значить такий логін є, а якщо “Page not found” - значить немає.

При зверненні до сторінок контакту з користувачем (http://site/user/1/contact) виводиться логін користувача на сайті. Атаку можна провести лише будучи залогіненим на сайті й вона спрацює лише якщо користувач включив опцію “Персональна форма контактів” в своєму профілі.

Уразливі Drupal 6.20 та попереднії версії (перевірено в Drupal 6.17).


Leave a Reply

You must be logged in to post a comment.