|
Здравствуйте 3APA3A!
Сообщаю вам о найденных мною Insufficient
Anti-automation, Abuse of Functionality, Information
Leakage и Cross-Site Scripting уязвимостях в Firebook.
Insufficient Anti-automation (WASC-21):
http://site/index.html?mailto=MG1112008878;file=path/to/guestbook/message.html;
На странице отправки сообщения на емайл отсутствует
защита от автоматизированных запросов (капча). При
заходе на страницу проверяется реферер.
Abuse of Functionality (WASC-42):
При отправке сообщения в форме отправки на емайл, оно
посылается не только владельцу емайла, который разместил
сообщение на сайте, но и на указанный емайл отправителя.
Что может использоваться для рассылки спама на
произвольные емайлы (Spam Gateway).
Information Leakage (WASC-13):
http://site/env/index.html
Утечка полного пути на сервере и другой информации.
XSS (WASC-08):
http://site/env/index.html?%3Cscript%3Ealert(document.
cookie)%3C/script%3E
Уязвимы Firebook 3.100328 и предыдущие версии.
Дополнительная информация о данных уязвимостях у меня
на сайте:
http://websecurity.com.ua/4711/
Best wishes & regards,
MustLive
Администратор сайта
http://websecurity.com.ua
|
