BlackBook подвержена следующим уязвимостям: 

1. XSS в большинстве передаваемых полей тела сообщения
Прим.: HTML обозначается как «off» (выкл) в sign.php 

«<SCRIPT>alert(document.domain);</SCRIPT> <SCRIPT>alert(document.cookie);</SCRIPT>»

JS код вызывается простым открытием страницы:

http://[host]/blackbook/index.php

2. По умолчанию user / password : «admin / pass» и хранится в виде обычного текста в файле «config.php»

3. Посты хранятся в базе /blackbook/data/data.dat, которая по умолчанию доступна любому пользователю.

4. phpinfo.php — без комментариев.



Оставить мнение