Websecurity - Веб безпека

Нещодавно я писав про XSS уразливість в Drupal. Минулого року, 14.03.2008, я знайшов нову Cross-Site Scripting уразливість в Drupal. Про що найближчим часом сповіщу розробників системи.

Дану уразливість я виявив на сайті ko.itc.ua. На якому я знайшов XSS дірку 17.08.2007 (в пошуці по сайту). А потім коли я зайшов на сайт в 2008 році, виявилося, що вони змінили движок, але знову ж таки мають XSS в пошуці по сайту .

XSS:

http://site/search/node/%22%3E%3Cscript%3Ealert(document.cookie)%3C/script%3E

Уразливі Drupal 5.5 та попередні версії (і можливо деякі наступні версії).

P.S.

Як я додатково перевірив на різних сайтах, версії Drupal 5.7, 5.15, 6.8 і 6.9 не вразливі.

This entry was posted on 23:52 20.02.2009 and is filed under Уразливості. You can follow any responses to this entry through the RSS 2.0 feed.