Здравствуйте 3APA3A!
Сообщаю вам о найденных мною Abuse of Functionality и
Insufficient Anti-automation уязвимостях в vBulletin.
Abuse of Functionality:
Логины пользователей являются их именами на форуме,
что позволяет выявить логины в системе.
Abuse of Functionality:
На странице http://site/register.php?do=register в
поле Логин можно выявить логины пользователей в
системе. Данная уязвимость позволяет провести Login
Enumeration атаку.
Insufficient Anti-automation:
Учитывая, что данная функция не имеет защиты от
автоматизированных атак, это позволяет проводить
автоматизированное выявление логинов в системе. В
дальнейшем выявленные логины могут быть использованы
для определения паролей пользователей системы.
Insufficient Anti-automation:
http://site/sendmessage.php?do=sendtofriend&t=1
http://site/register.php?do=register
Возможны отсутствие капчи или наличие слабой текстовой
капчи (когда нужно ввести лишь одну и ту же самую
фразу).
Уязвимы vBulletin 3.8.0 и предыдущие версии (и
последующие версии).
Дополнительная информация о данных уязвимостях у меня
на сайте:
http://websecurity.com.ua/3790/
Best wishes & regards,
MustLive
Администратор сайта
http://websecurity.com.ua