Уразливості в Catapulta I.W. Edition

23:51 30.05.2014

28.02.2014

У січні, 28.01.2014, я знайшов Login Enumeration, Brute Force та Insufficient Anti-automation уразливості в Catapulta I.W. Edition. Це українська комерційна CMS. Про що найближчим часом повідомлю розробникам системи.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам.

30.05.2014

Login Enumeration (WASC-42):

http://site/admin/login.php

Різні відповіді при вірному і невірному логіні.

Brute Force (WASC-11):

http://site/admin/login.php

Немає захисту від BF атак.

Insufficient Anti-automation (WASC-21):

В контактній формі (http://site/messageadmin.html) немає захисту від автоматизованих запитів (капчі).

Вразливі всі версії Catapulta I.W. Edition.


Leave a Reply

You must be logged in to post a comment.