Websecurity - Веб безпека

У січні, 01.01.2014, я знайшов численні уразливості в Joomla-Base. Це Denial of Service, XML Injection, Cross-Site Scripting, Full path disclosure та Insufficient Anti-automation уразливості. Про що найближчим часом повідомлю розробникам веб додатку.

Joomla-Base - це сбірка Joomla. Яка містить різні плагіни, в тому числі Google Maps плагін для Joomla, і тому має всі його уразливості. Що я оприлюднив в 2013-2014 роках.

Всі дірки мають місце в файлі plugin_googlemap2_proxy.php. Ось опис DoS та XSS уразливостей, опис інших дірок в попередніх записах.

Denial of Service (WASC-10):

http://site/plugins/system/plugin_googlemap2/plugin_googlemap2_proxy.php?url=google.com

Cross-Site Scripting (WASC-08):

http://site/plugins/system/plugin_googlemap2/plugin_googlemap2_proxy.php?url=%3Cbody%20onload=alert(document.cookie)%3E

Уразливі всі версії пакета Joomla-Base.

This entry was posted on 22:46 22.02.2014 and is filed under Уразливості. You can follow any responses to this entry through the RSS 2.0 feed.