Websecurity - Веб безпека

29.12.2011

У жовтні, 20.10.2011, я знайшов Insufficient Anti-automation та Denial of Service уразливості на http://incom.ua - сайті секюріті компанії Інком. Дані уразливості є також на інших сайтах Інкома (на всіх піддоменах incom.ua, де використовується Джумла). Про що найближчим часом детально сповіщу адміністрацію сайта.

Раніше я вже писав про уразливості на it-consulting.incom.ua.

Детальна інформація про уразливості з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

04.10.2012

Insufficient Anti-automation:

http://incom.ua/images/CaptchaSecurityImages.php?width=150&height=100&characters=2

DoS:

http://incom.ua/images/CaptchaSecurityImages.php?width=1000&height=9000

Вказавши великі значення width і height можна створити велике навантаження на сервер.

Дані уразливості досі не виправлені. Дірки в CaptchaSecurityImages - першу з них я оприлюднив ще в жовтні 2008, а другу оприлюднив в березні 2010. Але ні з часу мого оприлюднення дірок в цьому веб додатку та великій кількості веб додатків, що його використовують, ні після мого повідомлення адмінам Інкому, вони так і не виправили ці та багато інших уразливостей (на головному сайті та на всіх інших своїх сайтах).

This entry was posted on 23:59 04.10.2012 and is filed under Уразливості. You can follow any responses to this entry through the RSS 2.0 feed.