Уразливості в Catapulta I.W. Edition
23:51 30.05.201428.02.2014
У січні, 28.01.2014, я знайшов Login Enumeration, Brute Force та Insufficient Anti-automation уразливості в Catapulta I.W. Edition. Це українська комерційна CMS. Про що найближчим часом повідомлю розробникам системи.
Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам.
30.05.2014
Login Enumeration (WASC-42):
http://site/admin/login.php
Різні відповіді при вірному і невірному логіні.
Brute Force (WASC-11):
http://site/admin/login.php
Немає захисту від BF атак.
Insufficient Anti-automation (WASC-21):
В контактній формі (http://site/messageadmin.html) немає захисту від автоматизованих запитів (капчі).
Вразливі всі версії Catapulta I.W. Edition.