Related information

Web applications security vulnerabilities summary (PHP, ASP, JSP, CGI, Perl)

Open redirection vulnerability in the Drupal API function drupal_goto  (Drupal 6.15 and 5.21)

From:	MustLive <mustlive_(at)_websecurity.com.ua>
Date:	04.03.2010
Subject:	Vulnerabilities in DataLife Engine

Здравствуйте 3APA3A!

Сообщаю вам о найденных мною Abuse of Functionality и
Insufficient Anti-automation уязвимостях в DataLife
Engine (DLE).

Abuse of Functionality:

http://site/index.php?do=register

На странице регистрации функция "Проверить имя"
позволяет выявить логины пользователей в системе.
Данная уязвимость приводит к утечке информации про
логины в системе (Information Leakage).

Insufficient Anti-automation:

Учитывая, что данная функция не имеет защиты от
автоматизированных атак, это позволяет проводить
автоматизированное выявление логинов в системе. В
дальнейшем выявленные логины могут быть использованы
для определения паролей пользователей системы.

Уязвимы DataLife Engine 8.3 и предыдущие версии.

Дополнительная информация о данных уязвимостях у меня
на сайте:
http://websecurity.com.ua/3979/

Best wishes & regards,
MustLive
Администратор сайта
http://websecurity.com.ua