Lucene search

K
securityvulnsSecurityvulnsSECURITYVULNS:DOC:20157
HistoryJul 15, 2008 - 12:00 a.m.

Vulnerabilities in phpWebSite

2008-07-1500:00:00
vulners.com
20

Здравствуйте 3APA3A!

Сообщаю вам о найденных мною Insufficient Anti-automation и Cross-Site Scripting
уязвимостях в phpWebSite.

Insufficient Anti-Automation:

На странице регистраций
(http://site/index.php?module=users&action=user&command=signup_user) нет защиты от
автоматизированных запросов (капчи).

XSS:

POST запрос на странице
http://site/index.php?module=users&action=user&command=signup_user

"><BODY onload=alert(document.cookie)>
В полях: Password и Confirm (вместе), Email Address.

Уязвима версия phpWebSite 1.5.2 и предыдущие версии.

Дополнительная информация о данной уязвимости у меня на сайте:
http://websecurity.com.ua/2260/

Best wishes & regards,
MustLive
Администратор сайта
http://websecurity.com.ua