UASC

Home > Вразливості \ vulnerabilities > Міжсайтовий скриптинг в Efront 3.5.5

Міжсайтовий скриптинг в Efront 3.5.5

December 29th, 2009 Dimi4 Leave a comment Go to comments

27.10.09
Програма: efront
Версія 3.5.5
Рівень небезпеки: Низький

Опис:
Вразливість дозволяє віддаленому користувачу провести XSS атаку.

На сайті efrontlearning.net запевняють що в релізі 2009/11/23 v3.5.5 build 5208 :

• Added additional sanitization to eliminate xss attacks

Насправді ж, можливість проведення XSS атаки залишилась( хоча periklis запевняв: “this issue is (supposed to be) solved in later versions” ). Параметр message_type недостатньо фільтруєтся. Приклад Passive XSS атаки:

http://demo.efrontlearning.net/enterprise/www/index.php?message=asd&message_type=success%22%20BACKGROUND=%22javascript:alert(/XSS/);%22

Categories: Вразливості \ vulnerabilities Tags: efront, vulnerabilitie, XSS

Comments (0) Trackbacks (0) Leave a comment Trackback

No comments yet.

No trackbacks yet.

Вітання з Новим роком! Міжсайтовий скриптинг в Efront

Міжсайтовий скриптинг в Efront 3.5.5

Категорії

Наші веб-Друзі

Останні коментарі

Archives

Meta