Здравствуйте 3APA3A!
Сообщаю вам о найденных мною Insufficient Anti-automation
и Denial of Service уязвимостях в системе WeBAM.
Уязвимости имеют место в скрипте капчи
CaptchaSecurityImages.php, который используется в данной
системе. Об уязвимостях в CaptchaSecurityImages я уже
сообщал.
Insufficient Anti-automation:
http://site/captcha/CaptchaSecurityImages.php?width=150&height=100&characters=2
Возможен обход капчи как через полуавтоматизированный или
автоматизированный (с использованием OCR) методы, которые
были упомянутые ранее (http://websecurity.com.ua/4043/),
так и с использованием метода session reusing with
constant captcha bypass method
(http://websecurity.com.ua/1551/), описанного в проекте
Month of Bugs in Captchas.
DoS:
http://site/captcha/CaptchaSecurityImages.php?width=1000&height=9000
Указав большие значения width и height можно создать
большую нагрузку на сервер.
Уязвимы версии WeBAM 1.x.
Дополнительная информация о данных уязвимостях у меня на
сайте:
http://websecurity.com.ua/4046/
Best wishes & regards,
MustLive
Администратор сайта
http://websecurity.com.ua