Security Lab

Межсайтовый скриптинг в Agora.cgi

Дата публикации:18.12.2001
Всего просмотров:1090
Опасность:
Наличие исправления:
Количество уязвимостей:1
CVE ID: Нет данных
Вектор эксплуатации:
Воздействие:
CWE ID: Нет данных
Наличие эксплоита: Нет данных
Уязвимые продукты:
Описание:

Agora.cgi – скрипт, часто использующийся на сайтах электронной коммерции.
Программа не фильтрует ввод пользователя, что позволяет злоумышленнику вставлять свой код на уязвимых сайтах, потенциально захватывая cookies и выполняя действия от имени другого пользователя или изменяя просмотр содержнания на сайте.
Уязвимость найдена в Agoracgi v3.3e и более ранних версиях.

Пример:

http://www.test.com/store/agora.cgi?cart_id=<IMG%20height=47%20src="http://www.securityoffice.net/images/title.gif"%20width=406%20border=0>&xm=on&product=HTML
http://www.test.com/store/agora.cgi?cart_id=<script>alert(document.cookie)</script>&xm=on&product=HTML
 

Ссылки: http://www.agoracgi.com
http://owasp.securitylab.ru/?ID=27087