Программа: E-Dating System
Уязвимость позволяет удаленному пользователю произвести XSS нападение и получить доступ к важным данным на системе.
1. Уязвимость существует из-за недостаточной обработки входных данных во время публикации сообщения и обновления профиля. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольный код сценария в браузере жертвы в контексте безопасности уязвимого сайта.
2. Уязвимость существует из-за недостаточной обработки входных данных в параметре "id" в сценарии index.php. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольный код сценария в браузере жертвы в контексте безопасности уязвимого сайта.
3. Пользовательские данные хранятся небезопасным образом в каталоге "files" в пределах корневой директории сервера. Удаленный пользователь может получить доступ к важным данным.
Примеры:
<IMG SRC=javascript:alert('XSS')>
http://www.example.com/cindex.php?action=dologin&nav= messagebox&do=read&id=<IMG SRC=javascript:alert('XSS')>&st=1
