Здравствуйте 3APA3A!
Сообщаю вам о найденных мною Full path disclosure и Insufficient
Anti-automation уязвимостях в Drupal.
Full path disclosure (WASC-13):
При POST запросе к странице с формой с использованием кириллического
символа, выводится сообщение про ошибку, в котором выводится полный путь в
системе.
Уязвимости имеют место на страницах: http://site/user/,
http://site/user/1/edit, http://site/user/password,
http://site/user/register, http://site/contact, http://site/user/1/contact.
Другие страницы, содержащие формы, также могут быть уязвимыми.
Эксплоит:
http://websecurity.com.ua/uploads/2011/Drupal%20Full%20path%20disclosure.html
Как заметили разработчики Drupal, данные уязвимости возникают через
включение опции дебагинга в админке. Поэтому для предотвращения этих и других
FPD на сайте нужно отключить эту опцию.
Insufficient Anti-automation (WASC-21):
В разных формах на сайте используется уязвимая капча. Для обхода капчи нужно
указать корректное значение captcha_sid и одно и тоже самое значение капчи.
Данный метод обхода капч описан у меня в проекте Month of Bugs in Captchas
(http://websecurity.com.ua/1498/). Атака возможна пока активно данное
значение captcha_sid.
Уязвимости имеют место на страницах с формами: http://site/contact,
http://site/user/1/contact, http://site/user/password и
http://site/user/register. Другие формы, где используется капча, также будут
уязвимыми.
Учитывая, что Captcha модуль для Drupal является сторонним модулем, то
Insufficient Anti-automation уязвимость есть как в Captcha модуле (обход
капчи), так и в самом Друпале (отсутствие капчи).
Эксплоит:
http://websecurity.com.ua/uploads/2011/Drupal%20CAPTCHA%20bypass.html
Уязвимы Drupal 6.20 и предыдущие версии. Уязвимы версии Captcha модуля до
6.x-2.3 и 7.x-1.0.
Дополнительная информация о данных уязвимостях у меня на сайте:
http://websecurity.com.ua/4749/
Best wishes & regards,
MustLive
Администратор сайта
http://websecurity.com.ua