Vulnerabilities in TooFAST

2010-03-23T00:00:00
ID SECURITYVULNS:DOC:23424
Type securityvulns
Reporter Securityvulns
Modified 2010-03-23T00:00:00

Description

Здравствуйте 3APA3A!

Сообщаю вам о найденных мною Insufficient Anti-automation и Denial of Service уязвимостях в системе TooFAST.

Уязвимости имеют место в скрипте капчи CaptchaSecurityImages.php, который используется в данной системе. Об уязвимостях в CaptchaSecurityImages я уже сообщал.

Insufficient Anti-automation:

http://site/CaptchaSecurityImages.php?width=150&height=100&characters=2

Возможен обход капчи через полуавтоматизированный или автоматизированный (с использованием OCR) методы, которые были упомянутые ранее (http://websecurity.com.ua/4043/).

DoS:

http://site/CaptchaSecurityImages.php?width=1000&height=9000

Указав большие значения width и height можно создать большую нагрузку на сервер.

Уязвимы версии TooFAST 1.5 и предыдущие версии.

Дополнительная информация о данных уязвимостях у меня на сайте: http://websecurity.com.ua/4053/

Best wishes & regards, MustLive Администратор сайта http://websecurity.com.ua