Уразливості на feratti.com.ua
23:50 02.10.201530.05.2015
У травні, 03.05.2014, я знайшов Brute Force уразливість на http://feratti.com.ua. Це онлайн магазин. Про що найближчим часом сповіщу адміністрацію сайта.
Стосовно дірок на сайтах онлайн магазинів та електронних платіжних систем в останнє я писав про уразливості на www.payu.ua та www.ipay.ua.
Детальна інформація про уразливості з’явиться пізніше.
02.10.2015
Brute Force (WASC-11):
http://feratti.com.ua/index.php?option=com_virtuemart&view=orders&layout=details&order_number=1&order_pass=p_11111
Слабкий пароль - всього 1048576 комбінацій. При наявності номеру замовлення, який можна дістати, можна підібрати пароль. Це приведе до витоку інформації про замовлення (товар, ціна, ім’я, адреса і телефон замовника).
Уразливість досі не виправлена. Вона має місце в компоненті VirtueMart для Joomla.