Здравствуйте 3APA3A!
Сообщаю вам о найденных мною новых Information Leakage, Insufficient Anti-automation и
Insufficient Authentication уязвимостях в Power Phlogger.
Information Leakage:
В скрипте счётчика (pphlogger.js), или в коде вызова скрипта с сервера системы (в параметре id),
на сайте пользователя системы указан id, который является логином. Что приводит к утечке логина.
Insufficient Anti-automation:
На странице восстановления (создания нового) пароля (http://site/dspNewPw.php) нет защиты от
автоматизированных запросов (капчи). Что может быть использовано для автоматизированного
проведения Abuse of Functionality атаки, о которой я уже рассказывал (в предыдущем письме).
Insufficient Authentication:
Используя Abuse of Functionality можно изменить пароль у произвольного аккаунта, а через SQL
Injection можно узнать хэш данного пароля. И можно изменять пароль до тех пор, пока не попадётся
хэш, который удастся легко подобрать. Данная атака автоматизируется за счёт Insufficient
Anti-automation.
Уязвима версия Power Phlogger 2.2.5 и предыдущие версии.
Дополнительная информация о данных уязвимостях у меня на сайте:
http://websecurity.com.ua/3027/
Best wishes & regards,
MustLive
Администратор сайта
http://websecurity.com.ua