SecurityvulnsSECURITYVULNS:DOC:23420Vulnerabilities in CaptchaSecurityImages
Здравствуйте 3APA3A!
Сообщаю вам о найденных мною Insufficient Anti-automation
и Denial of Service уязвимостях в веб приложении
CaptchaSecurityImages. Это скрипт капчи, который
используется на многих веб сайтах и движках.
Insufficient Anti-automation уязвимость я нашёл
06.10.2007, во время проведения моего проекта Month of
Bugs in Captchas
(http://websecurity.com.ua/category/mobic/), а Denial of
Service уязвимость я нашёл 17.09.2009.
Insufficient Anti-automation:
В капче поддаются манипуляции параметры characters, width
и height. Они могут быть заданы таким образом, что
позволят лёгкий обход капчи через полуавтоматизированный
или автоматизированный (с использованием OCR) методы:
http://site/CaptchaSecurityImages.php?width=150&height=100&characters=2
Таким образом можно задать два символа и увеличить размер
капчи.
DoS:
http://site/CaptchaSecurityImages.php?width=1000&height=9000
Указав большие значения width и height можно создать
большую нагрузку на сервер.
Дополнительная информация о данных уязвимостях у меня на
сайте:
http://websecurity.com.ua/4043/
Best wishes & regards,
MustLive
Администратор сайта
http://websecurity.com.ua