Межсайтовый скриптинг в Tell Your Friends
| Дата публикации: | 15.07.2002 |
| Дата изменения: | 17.10.2006 |
| Всего просмотров: | 1146 |
| Опасность: | |
| Наличие исправления: | |
| Количество уязвимостей: | 1 |
| CVE ID: | Нет данных |
| Вектор эксплуатации: | |
| Воздействие: | |
| CWE ID: | Нет данных |
| Наличие эксплоита: | Нет данных |
| Уязвимые продукты: | |
| Описание: | Tell Your Friends (www.cgitoolbox.com) - сценарий, с помощью которого
вы можете рекомендовать страницу друзьям по e-mail. Из-за недостаточной
фильтрации в полях формы, удаленный атакующий может сконструировать
специальный скрипт, содержащий произвольный html или javascript код,
который будет выполнен в браузера пользователя в контексте уязвимого
сайта. Пример:
http://www.cgitoolbox.com/cgi/friends/send/mail-form.cgi? action=newemail&admin_email=support@microsoft.com& admin_graphic=http://www.epacep.com/new.gif&admin_ url=www.epacep.com&admin_sitename=name& message=visit%20www.microsoft.com&emailit= 1&senders_name=><script>alert(document.cookie)</script> &senders_email=tut@mail.com &rec_name=imya&rec_email=komu@shlem.ruУязвимость обнаружена в Tell Your Friends 1.0 Уязвимость найдена Eraser(er4s3r@mail.ru) |
| Ссылки: | Advisory by Eraser #2 |