Здравствуйте 3APA3A!
Сообщаю вам о найденных мною Abuse of Functionality и
Insufficient Anti-automation уязвимостях в DataLife
Engine (DLE).
Abuse of Functionality:
http://site/index.php?do=register
На странице регистрации функция "Проверить имя"
позволяет выявить логины пользователей в системе.
Данная уязвимость приводит к утечке информации про
логины в системе (Information Leakage).
Insufficient Anti-automation:
Учитывая, что данная функция не имеет защиты от
автоматизированных атак, это позволяет проводить
автоматизированное выявление логинов в системе. В
дальнейшем выявленные логины могут быть использованы
для определения паролей пользователей системы.
Уязвимы DataLife Engine 8.3 и предыдущие версии.
Дополнительная информация о данных уязвимостях у меня
на сайте:
http://websecurity.com.ua/3979/
Best wishes & regards,
MustLive
Администратор сайта
http://websecurity.com.ua