Здравствуйте 3APA3A!
Сообщаю вам о найденных мною Abuse of Functionality
уязвимостях в Drupal.
Abuse of Functionality (WASC-42):
В системе используется ненадёжный механизм смены
пароля. В профиле пользователя (http://site/user/1/edit)
можно сменить пароль без знания текущего пароля. И хотя
в форме существует защита от CSRF, это не защитит от
Abuse of Functionality.
Потому что с использованием XSS уязвимости можно обойти
данную защиту и провести удалённую атаку для смены
пароля (в том числе и администратора). Или же при
похищении сессии через XSS можно зайти в аккаунт и
сменить пароль. Или же это можно сделать при временном
доступе к компьютеру пользователя, с которого он зашёл в
свой аккаунт.
Abuse of Functionality (WASC-42):
Кроме двух ранее упомянутых методов
(http://websecurity.com.ua/4763/), существуют следующие
методы определения логинов пользователей.
На форуме (http://site/forum) выводятся логины
пользователей сайта, которые запостили на форуме
(открыли тему или написали комментарий).
В разделе Последние публикации (http://site/tracker) на
страницах "Все последние публикации" и "Мои публикации"
выводятся логины пользователей сайта, которые написали
записи на сайте. Атаку можно провести лишь будучи
залогиненым на сайте.
В записях блога (http://site/content/post), а также в
комментариях к записям блогов и другим страницам сайта
(http://site/page) выводятся логины пользователей сайта,
которые сделали запись в блоге или написали комментарий.
В форме восстановления пароля
(http://site/user/password) можно выявлять логины и
емайлы пользователей сайта. Если отправить неверный
логин или емайл то выведется сообщение "Sorry, … is
not recognized as a user name or an e-mail address", а
если отправить верный логин или емайл, то это сообщение
не выведется.
Уязвимы Drupal 6.20 и предыдущие версии.
Дополнительная информация о данных уязвимостях у меня
на сайте:
http://websecurity.com.ua/4776/
Best wishes & regards,
MustLive
Администратор сайта
http://websecurity.com.ua