Websecurity - Веб безпека

Продовжу тему витоку інформації про версію системи. Як я зазначав, виведення версії системи - це поширена функція у веб додатках та веб системах. Багато різних движків виводять інформацію про версію системи і дана можливість движків є уразливістю.

Це витік інформації (Information Leakage) про версію системи, що може бути використаний для атаки на сайти, що використовують даний движок. В класифікації WASC визначений окремий клас уразливостей для таких витоків інформації - Fingerprinting (WASC-45).

Наведу нові приклади подібних уразливостей в різних веб додатках, що приводять до витоку інформації про версію системи.

Adobe ColdFusion

В ColdFusion версію системи можна дізнатися в формі логіна http://site/CFIDE/administrator/.

Serendipity

В Serendipity версію системи можна дізнатися в файлі http://site/docs/NEWS (Version 1.5.5).

InstantCMS

В InstantCMS версію системи можна дізнатися в файлах /version_log.txt і /readme.txt (1.10).

This entry was posted on 23:57 17.11.2013 and is filed under Уразливості, Статті. You can follow any responses to this entry through the RSS 2.0 feed.