Websecurity - Веб безпека

22.05.2013

У квітні, 14.04.2013, я знайшов Arbitrary File Uploading та Cross-Site Scripting уразливості в TinyMCE Image Manager плагіні для TinyMCE. Про що найближчим часом повідомлю розробникам веб додатку.

Раніше я вже писав про уразливості в TinyMCE Image Manager.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам.

18.07.2013

Arbitrary File Uploading (WASC-31):

Можлива атака через “1.asp” в імені папки. Це обхідний метод для виконання довільного коду на веб сервері IIS.

TinyMCE Image Manager AFU.html

Cross-Site Scripting (WASC-08):

Це persistent XSS на Linux/Unix та reflected XSS на Windows. Код спрацює одразу після відправки запиту на створення папки і в подальшому при запитах до коннектора (при будь-яких операціях, за виключенням створення папки з існуючим іменем).

TinyMCE Image Manager XSS.html

Уразливі TinyMCE Image Manager 1.1 та попередні версії.

This entry was posted on 23:51 18.07.2013 and is filed under Уразливості. You can follow any responses to this entry through the RSS 2.0 feed.