Здравствуйте 3APA3A!
Сообщаю вам о найденных мною Insufficient Anti-automation и Denial of Service
уязвимостях в системе ArcManager.
Уязвимости имеют место в скрипте капчи CaptchaSecurityImages.php, который
используется в данной системе. Об уязвимостях в CaptchaSecurityImages я уже
сообщал.
Insufficient Anti-automation:
http://site/libs/captcha/CaptchaSecurityImages.php?width=150&height=100&characters=2
Возможен обход капчи как через полуавтоматизированный или автоматизированный (с
использованием OCR) методы, которые были упомянутые ранее
(http://websecurity.com.ua/4043/), так и с использованием метода session reusing
with constant captcha bypass method (http://websecurity.com.ua/1551/),
описанного в проекте Month of Bugs in Captchas.
DoS:
http://site/libs/captcha/CaptchaSecurityImages.php?width=1000&height=9000
Указав большие значения width и height можно создать большую нагрузку на
сервер.
Уязвимы все версии ArcManager.
Дополнительная информация о данных уязвимостях у меня на сайте:
http://websecurity.com.ua/4057/
Best wishes & regards,
MustLive
Администратор сайта
http://websecurity.com.ua