Здравствуйте 3APA3A!
Сообщаю вам о найденных мною Brute Force и Abuse of
Functionality уязвимостях в Drupal.
Brute Force (WASC-11):
В форме логина (http://site/user/) не реализована
надёжная защита от подбора пароля. В самом Drupal капчи
нет, а существующий Captcha модуль
(http://websecurity.com.ua/4749/) является уязвимым (а
также все плагины к нему, такие как reCAPTCHA
(http://websecurity.com.ua/4752/)).
Abuse of Functionality (WASC-42):
На странице контактов (http://site/contact) и на
странице контакта с пользователем
(http://site/user/1/contact) есть возможность отправлять
спам на произвольные емайлы через функцию "Send yourself
a copy". Атака с использованием этой функции возможна
лишь для залогиненных пользователей.
Для автоматизированной рассылки спама нужно
использовать ранее упомянутые Insufficient
Anti-automation уязвимости - в самом Drupal капчи нет, а
существующий капча-модуль (и плагины к нему, такие как
reCAPTCHA) является уязвимым.
О подобных Abuse of Functionality уязвимостях я писал в
статье Sending spam via sites and creating spam-botnets
(http://lists.webappsec.org/pipermail/websecurity_lists.webappsec.org/2010-July/006863.html).
Abuse of Functionality (WASC-42):
При обращении к определённым страницам сайта с
указанием логина (http://site/users/user) можно
определить существующие логины пользователей на сайте.
Если выводит "Access denied" - значит такой логин есть,
а если "Page not found" - значит нет.
При обращении к страницам контакта с пользователем
(http://site/user/1/contact) выводится логин
пользователя на сайте. Атаку можно провести лишь будучи
залогиненым на сайте и она сработает лишь если
пользователь включил опцию "Персональная форма
контактов" в своё профиле.
Уязвимы Drupal 6.20 и предыдущие версии.
Дополнительная информация о данных уязвимостях у меня
на сайте:
http://websecurity.com.ua/4763/
Best wishes & regards,
MustLive
Администратор сайта
http://websecurity.com.ua