Websecurity - Веб безпека

25.01.2011

У листопаді, 15.11.2010, я знайшов Brute Force та Full path disclosure уразливості в phpMyAdmin. Які я виявив на різних сайтах, що використвують даний веб додаток. Про що найближчим часом повідомлю розробникам.

Стосовно дірок пов’язаних з phpMyAdmin, я вже писав про уразливості в XAMPP.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам веб додатку.

28.02.2011

Brute Force:

http://site/phpmyadmin/

В формі логіну немає захисту від Brute Force атак.

Full path disclosure:

http://site/phpmyadmin/readme.php (якщо немає файла README в папці phpmyadmin)

http://site/phpmyadmin/changelog.php (якщо немає файла ChangeLog в папці phpmyadmin)

http://site/phpmyadmin/license.php (якщо немає файла LICENSE в папці phpmyadmin)

Вразливі phpMyAdmin 3.3.9 та попередні версії і phpMyAdmin 2.11.11.1 та попередні версії. Всі додатки (такі як XAMPP), що використовують phpMyAdmin, також вразливі.

FPD уразливості виправлені розробниками (08.02.2011) в версіях 3.3.9.1 та 2.11.11.2. Brute Force уразливість не виправлена, але розробники обіцяли подумати над цим.

This entry was posted on 18:20 28.02.2011 and is filed under Уразливості. You can follow any responses to this entry through the RSS 2.0 feed.