Security Lab

Межсайтовый скриптинг в TSguestbook

Дата публикации:02.09.2003
Всего просмотров:1039
Опасность:
Низкая
Наличие исправления: Нет
Количество уязвимостей:1
CVE ID: Нет данных
Вектор эксплуатации: Удаленная
Воздействие: Межсайтовый скриптинг
CWE ID: Нет данных
Наличие эксплоита: Нет данных
Уязвимые продукты: TSguestbook 2.x

Программа: TSguestbook 2.x

Наличие эксплоита: Да

Описание: Уязвимость в проверке правильности входных данных обнаружена в TSguestbook. Удаленный атакующий может выполнить XSS нападение.

Программное обеспечение не фильтрует пользовательские данные в поле Message. Удаленный атакующий может вставить произвольный код сценария в поле Message, который будет выполнен в браузере пользователя, просматривающего злонамеренное сообщение. Уязвимость может использоваться для перехвата опознавательных данных, хранящихся в куки целевого пользователя.

Пример/Эксплоит:

 
Name: Zone-h Security Team

Email: test@test.com

ICQ: 11111111

Homepage: http://www.zone-h.org

Message:<script>alert('Zone-H')</script>

URL производителя: http://www.tsinter.net

Решение:

Официального решения не существует в настоящее время. В качестве временного решения проблемы, отредактируйте исходный код программы, используйте фильтрующий HTTP прокси или откажитесь от использования уязвимого программного обеспечения.
Ссылки: ZH2003-26SA (security advisory): TSguestbook Ver. 2.1 Cross-Site Scripting Vulnerability