ਇੱਕ ਮੁਫਤ ਸਮੱਗਰੀ ਪ੍ਰਬੰਧਨ ਪ੍ਰਣਾਲੀ ਲਈ
ਪਛਾਣੀਆਂ ਗਈਆਂ ਕਮਜ਼ੋਰੀਆਂ (ਵੇਰਵਿਆਂ ਦਾ ਅਜੇ ਖੁਲਾਸਾ ਨਹੀਂ ਕੀਤਾ ਗਿਆ):
- ਰੈਸਟ ਏਪੀਆਈ ਦੀ ਹੇਰਾਫੇਰੀ ਦੁਆਰਾ ਵਿਸ਼ੇਸ਼ ਅਧਿਕਾਰਾਂ ਦੀ ਉਚਾਈ (ਸਿਰਫ਼ ਉਦੋਂ ਦਿਖਾਈ ਦਿੰਦੀ ਹੈ ਜਦੋਂ plone.restapi ਯੋਗ ਹੁੰਦਾ ਹੈ);
- ਡੀਟੀਐਮਐਲ ਵਿੱਚ SQL ਕੰਸਟਰੱਕਟਸ ਅਤੇ ਡੀਬੀਐਮਐਸ ਨਾਲ ਕਨੈਕਟ ਕਰਨ ਲਈ ਆਬਜੈਕਟਸ ਦੇ ਨਾਕਾਫੀ ਬਚਣ ਕਾਰਨ SQL ਕੋਡ ਦਾ ਬਦਲਣਾ (ਸਮੱਸਿਆ ਇਸ ਲਈ ਖਾਸ ਹੈ
ਜ਼ੋਪ ਅਤੇ ਇਸਦੇ ਅਧਾਰ ਤੇ ਹੋਰ ਐਪਲੀਕੇਸ਼ਨਾਂ ਵਿੱਚ ਦਿਖਾਈ ਦਿੰਦਾ ਹੈ); - ਲਿਖਣ ਦੇ ਅਧਿਕਾਰਾਂ ਤੋਂ ਬਿਨਾਂ PUT ਵਿਧੀ ਨਾਲ ਹੇਰਾਫੇਰੀ ਦੁਆਰਾ ਸਮੱਗਰੀ ਨੂੰ ਦੁਬਾਰਾ ਲਿਖਣ ਦੀ ਯੋਗਤਾ;
- ਲੌਗਇਨ ਫਾਰਮ ਵਿੱਚ ਰੀਡਾਇਰੈਕਟ ਖੋਲ੍ਹੋ;
- isURLInPortal ਜਾਂਚ ਨੂੰ ਬਾਈਪਾਸ ਕਰਦੇ ਹੋਏ ਖਤਰਨਾਕ ਬਾਹਰੀ ਲਿੰਕਾਂ ਨੂੰ ਸੰਚਾਰਿਤ ਕਰਨ ਦੀ ਸੰਭਾਵਨਾ;
- ਪਾਸਵਰਡ ਤਾਕਤ ਦੀ ਜਾਂਚ ਕੁਝ ਮਾਮਲਿਆਂ ਵਿੱਚ ਅਸਫਲ ਹੁੰਦੀ ਹੈ;
- ਸਿਰਲੇਖ ਖੇਤਰ ਵਿੱਚ ਕੋਡ ਬਦਲ ਦੁਆਰਾ ਕਰਾਸ-ਸਾਈਟ ਸਕ੍ਰਿਪਟਿੰਗ (XSS)।
ਸਰੋਤ: opennet.ru