Security Lab

Межсайтовый скриптинг в Working Resources BadBlue

Дата публикации:11.07.2002
Всего просмотров:907
Опасность:
Наличие исправления:
Количество уязвимостей:1
CVE ID: Нет данных
Вектор эксплуатации:
Воздействие:
CWE ID: Нет данных
Наличие эксплоита: Нет данных
Уязвимые продукты:
Описание: Working Resources BadBlue– web сервер для Windows.

Любой прямой запрос к процессу EXT.DLL, переадресуется к фунции cleanSearchString. Результат отображается в браузере следующим образом:

document.write(cleanSearchString('<>'));
<input type=hidden name=a0 value="<>">
Т.е. удаленный атакующий может включить произвольный код сценария, которые будет выполнен в браузере пользователя в контексте уязвимого сайта. Пример:
"hi"'));alert("ZING!!!");document.write(cleanSearchString('a 
"><script>alert("ZING!!!");</script><
уязвимость обнаружена в Working Resources Inc. BadBlue Personal Edition 1.7.3
Ссылки: BadBlue 1.73 EXT.DLL XSS Variant