Здравствуйте 3APA3A!
Сообщаю вам о найденных мною Cross-Site Scripting и Abuse of Functionality уязвимостях
в Drupal.
XSS (WASC-08):
При добавлении или изменении данных в любых внутренних формах (добавление/изменение
поста и т.д.) можно провести persistent XSS атаку. XSS код выполнится при посещении
страницы редактирования (изменение поста и т.д.). Атака осуществляется на любые формы с
включенным FCKeditor/CKEditor (которые весьма распространены на сайтах на Drupal).
Подобная атака может быть осуществлена и на формы с TinyMCE - о подобных уязвимостях в
PHP-Nuke через TinyMCE я уже писал (http://websecurity.com.ua/4842/).
Для атаки нужно в поле формы в режиме "Source" указать:
<img onerror="alert(document.cookie)" src="1" />
Также можно отправить POST запрос с токеном и атакующим кодом в параметре body.
Атака может быть проведена только на залогиненого пользователя сайта, который является
владельцем данного аккаунта, или админа сайта. Т.е. или пользователь сам сохранит
атакующий код и заманит на эту страницу админа, или, с учётом анти-CSRF защиты, через
reflected XSS уязвимость будет получен токен и на пользователя или админа будет
проведена persistent XSS атака.
Abuse of Functionality (WASC-42):
При специальном запросе к поиску по пользователям можно определить логины всех
пользователей на сайте.
http://site/search/user/%25
http://site/search/user_search/%25
В rss-фидах сайта, в частности в основном rss-фиде (http://site/rss.xml) можно
определить логины пользователей на сайте, материалы которых выводятся в данном фиде.
Уязвимы Drupal 6.22 и предыдущие версии. Учитывая, что разработчики не исправили
данные уязвимости, то версии 7.x также должны быть уязвимыми.
Дополнительная информация о данных уязвимостях у меня на сайте:
http://websecurity.com.ua/5074/
Best wishes & regards,
MustLive
Администратор сайта
http://websecurity.com.ua