Security Lab

Межсайтовый скриптинг в Asn Guestbook

Дата публикации:25.07.2005
Всего просмотров:1158
Опасность:
Низкая
Наличие исправления: Нет
Количество уязвимостей:1
CVE ID: Нет данных
Вектор эксплуатации: Удаленная
Воздействие: Межсайтовый скриптинг
CWE ID: Нет данных
Наличие эксплоита: Нет данных
Уязвимые продукты: Asn Guestbook 1.x
Уязвимые версии: Asn Guestbook 1.5

Описание:
Уязвимость позволяет удаленному пользователю произвести XSS нападение и получить потенциально важные данные других пользователей.

Уязвимость существует в сценариях 'header.php' и 'footer.php'. Удаленный пользователь может с помощью специально сформированного URL выполнить произвольный HTML сценарий в браузере жертвы в контексте безопасности уязвимого сайта. Пример:

http://[target]/[path]/header.php?version=</title>
<script>alert(document.cookie)</script>

http://[targ et]/[path]/footer.php?version=<script>
alert(document.cookie)</script>

URL производителя: script.tourdebali.com/asnguestbook.html

Решение: Способов устранения уязвимости не существует в настоящее время.

Ссылки: Asn Guestbook 1.5 cross site scripting poc exploit