Уразливості в Silverstripe CMS

16:08 06.05.2011

22.03.2011

У січні, 19.01.2011, я знайшов Brute Force, Insufficient Anti-automation та Abuse of Functionality уразливості в Silverstripe CMS. Які я виявив на одному сайті, що використовує даний движок. Про що найближчим часом повідомлю розробникам.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам системи.

06.05.2011

Brute Force:

http://site/Security/login

Insufficient Anti-automation:

http://site/contact-us/

http://site/Security/lostpassword

В даних формах немає захисту від автоматизованих запитів (капчі).

Abuse of Functionality:

http://site/Security/lostpassword

В даному функціоналі можна виявляти емайли користувачів, які є логінами в системі.

Про Fingerprinting уразливість в даній CMS я розповів в іншому записі.

Уразливі Silverstripe CMS 2.4.5 та попередні версії.

This entry was posted on 16:08 06.05.2011 and is filed under Уразливості. You can follow any responses to this entry through the RSS 2.0 feed.

You must be logged in to post a comment.

Websecurity - Веб безпека

Уразливості в Silverstripe CMS

Leave a Reply

Меню

Категорії

Останні повідомлення

Архів +-

Мета