Cross-Site Scripting уразливості в MagaZilla №2
19:32 08.10.2008Раніше я вже писав про Cross-Site Scripting уразливості в MagaZilla. Зараз продовжу розповідати про дірки на сайтах, що використовують скрипт каталогу MagaZilla.
Тоді, 03.10.2007, я виявив Cross-Site Scripting уразливості на сайтах www.magazilla.ua, www.magazilla.ru, market.join.com.ua, market-ru.join.com.ua, www.nadavi.ru, www.nadavi.com.ua, www.e-katalog.ru, www.e-katalog.com.ua, www.pokupaj.ru, www.pokupaj.com.ua, www.climat-club.ru і www.climat-club.com.ua.
В попередньому записі я опублікував детальну інформацію про уразливості на сайтах www.magazilla.ua, www.magazilla.ru, market.join.com.ua, market-ru.join.com.ua (де уразливості були виправлені погано) і на www.nadavi.ru, www.nadavi.com.ua (де уразливості зовсі не були виправлені). А зараз я опублікую деталі уразливостей на інших сайтах.
XSS:
http://www.e-katalog.ru
- alert(document.cookie) (IE)
- alert(document.cookie) (IE)
- alert(document.cookie)
- цікавий
- html включення
http://www.e-katalog.com.ua
- alert(document.cookie) (IE)
- alert(document.cookie) (IE)
- alert(document.cookie)
- цікавий
- html включення
http://www.pokupaj.ru
Окрім основного домена (www), ті ж самі уразливості на піддомені mobile (http://mobile.pokupaj.ru) та інших піддоменах.
http://www.pokupaj.com.ua
Окрім основного домена (www), ті ж самі уразливості на піддомені mobile (http://mobile.pokupaj.com.ua) та інших піддоменах.
http://www.climat-club.ru
http://www.climat-club.com.ua
Дані уразливості досі не виправлені.
