Записи по тегу: xss

Множественные уязвимости Etomite CMS

4 комментария

Сегодня понадобилось ковырнуть эту CMS.

Оффсайт цмски www.etomite.org

Немного кривой код написанный, типа, на ООП. Но логика — бред. По сути вся цмска запихнута в один файл index.php в виде одного класа. Вообщем полный бред. Судя по коду авторы что то слышали насчет безопасности, но судя по всему всего лишь краем уха. Так как было найдено:

  • SQL injection — нет зависимостей от настроек
  • Выполнение PHP кода — необходима специфичная настройка параметров CMS
  • XSS — нет зависимостей

Ну и вероятно это не предел, так как найдя эти уязвимости я остановился.

Далее описание уязвимостей, уязвимый код, и пример эксплуатации.
Читать далее →