Программа: E-Dating System

Уязвимость позволяет удаленному пользователю произвести XSS нападение и получить доступ к важным данным на системе.

1. Уязвимость существует из-за недостаточной обработки входных данных во время публикации сообщения и обновления профиля. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольный код сценария в браузере жертвы в контексте безопасности уязвимого сайта.

2. Уязвимость существует из-за недостаточной обработки входных данных в параметре "id" в сценарии index.php. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольный код сценария в браузере жертвы в контексте безопасности уязвимого сайта.

3. Пользовательские данные хранятся небезопасным образом в каталоге "files" в пределах корневой директории сервера. Удаленный пользователь может получить доступ к важным данным.

Примеры:

<IMG SRC=javascript:alert(‘XSS’)>

http://www.example.com/cindex.php?action=dologin&nav= messagebox&do=read&id=<IMG SRC=javascript:alert(‘XSS’)>&st=1



Оставить мнение