XSS уразливість в Search Engine Builder
19:32 20.08.200721.07.2007
У січні, 26.01.2007, я знайшов Cross-Site Scripting уразливість в пошуковому движку Search Engine Builder. Як раз коли виявив уразливість на www.niisp.gov.ua, де і використовується цей локальний пошуковець.
Деталі уразливості з’являться пізніше, спочатку повідомлю розробникам системи.
20.08.2007
XSS:
Уразливість на сторінці search.html в параметрі searWords.
http://site/search/search.html?searWords=%3Cscript%3Ealert(document.cookie)%3C/script%3E
Розробникам Search Engine Builder я повідомив, але вони так і не відповіли. Тому користувачам даного движка потрібно самотужки виправити цю дірку.
