Здравствуйте 3APA3A!
Сообщаю вам о найденных мною Insufficient Anti-automation, Cross-Site Scripting, Denial of Service и Full path disclosure уязвимостях в
PHPShop. Это движок для онлайн магазинов.
Insufficient Anti-automation (WASC-21):
http://site/users/register.html
На данной странице используется уязвимая капча.
http://websecurity.com.ua/uploads/2010/PHPShop%20CAPTCHA%20bypass.html
http://site/users/sendpassword.html
На данной странице нет защиты от автоматизированных запросов (капчи).
XSS (с обходом капчи) (WASC-08):
http://websecurity.com.ua/uploads/2010/PHPShop%20XSS.html
DoS (WASC-10):
http://site/search/?words=.&p=all&cat=0
Full path disclosure (WASC-13):
Уязвимы PHPShop 2.1 EE и предыдущие версии (и потенциально последующие версии).
Дополнительная информация о данных уязвимостях у меня на сайте:
http://websecurity.com.ua/4512/
Best wishes & regards,
MustLive
Администратор сайта
http://websecurity.com.ua