Здравствуйте 3APA3A!
Сообщаю вам о найденных мною Insufficient Anti-automation, Cross-Site Scripting, SQL Injection и Full path disclosure уязвимостях в eSitesBuilder (это украинская коммерческая CMS).
Insufficient Anti-automation:
В форме нет защиты от автоматизированных запросов (капчи).
XSS:
Это single-user persistent XSS, когда пользователь залогинен на сайте.
POST запрос к странице профайла http://site/account.php. Код сработает на странице профайла (поля Имя, Email, Телефон, Адрес 1, Адрес 2, Город/Поселок, Область) и на каждой внешней странице сайта (поле Имя).
XSS (persistent):
Через поле Имя в профайле можно провести атаку на страницах:
http://site/products/comments/product/
http://site/products/details/product/
XSS:
SQL Injection:
Full path disclosure:
http://site/index.php?page=search&search_text=%3C%3E
Дополнительная информация о данных уязвимостях у меня на сайте:
http://websecurity.com.ua/4303/
Best wishes & regards,
MustLive
Администратор сайта
http://websecurity.com.ua