Уразливості в PHPIDS

15:10 02.03.2011

05.01.2011

У вересні, 21.09.2010, я знайшов Full path disclosure та Information Leakage уразливості в PHPIDS. Це IDS (секюріті додаток) для веб додатків на PHP. Які я виявив на сайті www.hackerscenter.com. Про що найближчим часом повідомлю розробникам.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам програми.

02.03.2011

Full path disclosure:

http://site/script.php?p=’

При відправці “атакуючого” запиту (такого як з одинарною лапкою) до будь-якого php-скрипта на сайті з PHPIDS виводиться повний шлях на сервері.

http://site/phpids/lib/IDS/Log/File.php

Information Leakage:

http://site/phpids/lib/IDS/tmplogs/phpids_log.txt

Витік всього лога.

Уразливі PHPIDS 0.6.5 та попередні версії.

Розробник PHPIDS 17.01.2011 вже виправив дані уразливості (але FPD виправлені не повністю).


Leave a Reply

You must be logged in to post a comment.