Brute Force и Abuse of Functionality уязвимости в Drupal

2011-02-22T00:00:00
ID SECURITYVULNS:DOC:25755
Type securityvulns
Reporter Securityvulns
Modified 2011-02-22T00:00:00

Description

Здравствуйте 3APA3A!

Сообщаю вам о найденных мною Brute Force и Abuse of Functionality уязвимостях в Drupal.

Brute Force (WASC-11):

В форме логина (http://site/user/) не реализована надёжная защита от подбора пароля. В самом Drupal капчи нет, а существующий Captcha модуль (http://websecurity.com.ua/4749/) является уязвимым (а также все плагины к нему, такие как reCAPTCHA (http://websecurity.com.ua/4752/)).

Abuse of Functionality (WASC-42):

На странице контактов (http://site/contact) и на странице контакта с пользователем (http://site/user/1/contact) есть возможность отправлять спам на произвольные емайлы через функцию "Send yourself a copy". Атака с использованием этой функции возможна лишь для залогиненных пользователей.

Для автоматизированной рассылки спама нужно использовать ранее упомянутые Insufficient Anti-automation уязвимости - в самом Drupal капчи нет, а существующий капча-модуль (и плагины к нему, такие как reCAPTCHA) является уязвимым.

О подобных Abuse of Functionality уязвимостях я писал в статье Sending spam via sites and creating spam-botnets (http://lists.webappsec.org/pipermail/websecurity_lists.webappsec.org/2010-July/006863.html).

Abuse of Functionality (WASC-42):

При обращении к определённым страницам сайта с указанием логина (http://site/users/user) можно определить существующие логины пользователей на сайте. Если выводит "Access denied" - значит такой логин есть, а если "Page not found" - значит нет.

При обращении к страницам контакта с пользователем (http://site/user/1/contact) выводится логин пользователя на сайте. Атаку можно провести лишь будучи залогиненым на сайте и она сработает лишь если пользователь включил опцию "Персональная форма контактов" в своё профиле.

Уязвимы Drupal 6.20 и предыдущие версии.

Дополнительная информация о данных уязвимостях у меня на сайте: http://websecurity.com.ua/4763/

Best wishes & regards, MustLive Администратор сайта http://websecurity.com.ua