Basic search

K
securityvulnsSecurityvulnsSECURITYVULNS:DOC:25595
HistoryFeb 03, 2011 - 12:00 a.m.

Новые уязвимости в Firebook

2011-02-0300:00:00
vulners.com
8

Здравствуйте 3APA3A!

Сообщаю вам о найденных мною Insufficient
Anti-automation, Abuse of Functionality, Information
Leakage и Cross-Site Scripting уязвимостях в Firebook.

Insufficient Anti-automation (WASC-21):

http://site/index.html?mailto=MG1112008878;file=path/to/guestbook/message.html;

На странице отправки сообщения на емайл отсутствует
защита от автоматизированных запросов (капча). При
заходе на страницу проверяется реферер.

Abuse of Functionality (WASC-42):

При отправке сообщения в форме отправки на емайл, оно
посылается не только владельцу емайла, который разместил
сообщение на сайте, но и на указанный емайл отправителя.
Что может использоваться для рассылки спама на
произвольные емайлы (Spam Gateway).

Information Leakage (WASC-13):

http://site/env/index.html

Утечка полного пути на сервере и другой информации.

XSS (WASC-08):

http://site/env/index.html?%3Cscript%3Ealert(document.cookie)%3C/script%3E

Уязвимы Firebook 3.100328 и предыдущие версии.

Дополнительная информация о данных уязвимостях у меня
на сайте:
http://websecurity.com.ua/4711/

Best wishes & regards,
MustLive
Администратор сайта
http://websecurity.com.ua