Витік інформації про версію системи №7
23:57 17.11.2013Продовжу тему витоку інформації про версію системи. Як я зазначав, виведення версії системи - це поширена функція у веб додатках та веб системах. Багато різних движків виводять інформацію про версію системи і дана можливість движків є уразливістю.
Це витік інформації (Information Leakage) про версію системи, що може бути використаний для атаки на сайти, що використовують даний движок. В класифікації WASC визначений окремий клас уразливостей для таких витоків інформації - Fingerprinting (WASC-45).
Наведу нові приклади подібних уразливостей в різних веб додатках, що приводять до витоку інформації про версію системи.
Adobe ColdFusion
В ColdFusion версію системи можна дізнатися в формі логіна http://site/CFIDE/administrator/.
Serendipity
В Serendipity версію системи можна дізнатися в файлі http://site/docs/NEWS (Version 1.5.5).
InstantCMS
В InstantCMS версію системи можна дізнатися в файлах /version_log.txt і /readme.txt (1.10).