Brute Force и Abuse of Functionality уязвимости в Drupal

Здравствуйте 3APA3A!

Сообщаю вам о найденных мною Brute Force и Abuse of
Functionality уязвимостях в Drupal.

Brute Force (WASC-11):

В форме логина (http://site/user/) не реализована
надёжная защита от подбора пароля. В самом Drupal капчи
нет, а существующий Captcha модуль
(http://websecurity.com.ua/4749/) является уязвимым (а
также все плагины к нему, такие как reCAPTCHA
(http://websecurity.com.ua/4752/)).

Abuse of Functionality (WASC-42):

На странице контактов (http://site/contact) и на
странице контакта с пользователем
(http://site/user/1/contact) есть возможность отправлять
спам на произвольные емайлы через функцию "Send yourself
a copy". Атака с использованием этой функции возможна
лишь для залогиненных пользователей.

Для автоматизированной рассылки спама нужно
использовать ранее упомянутые Insufficient
Anti-automation уязвимости - в самом Drupal капчи нет, а
существующий капча-модуль (и плагины к нему, такие как
reCAPTCHA) является уязвимым.

О подобных Abuse of Functionality уязвимостях я писал в
статье Sending spam via sites and creating spam-botnets
(http://lists.webappsec.org/pipermail/websecurity_lists.webappsec.org/2010-July/006863.html).

Abuse of Functionality (WASC-42):

При обращении к определённым страницам сайта с
указанием логина (http://site/users/user) можно
определить существующие логины пользователей на сайте.
Если выводит "Access denied" - значит такой логин есть,
а если "Page not found" - значит нет.

При обращении к страницам контакта с пользователем
(http://site/user/1/contact) выводится логин
пользователя на сайте. Атаку можно провести лишь будучи
залогиненым на сайте и она сработает лишь если
пользователь включил опцию "Персональная форма
контактов" в своё профиле.

Уязвимы Drupal 6.20 и предыдущие версии.

Дополнительная информация о данных уязвимостях у меня
на сайте:
http://websecurity.com.ua/4763/

Best wishes & regards,
MustLive
Администратор сайта
http://websecurity.com.ua