Ded MustD!e
15.09.2009, 05:13
Уязвимость: aXSS
Продукт: NextBBS
Версия: 0.4.5
Не вижу смысла приводить код, какая-либо фильтрация отсутствует напрочь, заходим в свой профиль, уязвимы все поля (AIM Name, ICQ Number, Yahoo Identity, MSN Identity, Home Page, Location, Interests).
Также активка присутствует в общем разделе Calendar, каждый может из своего профиля добавлять туда события, добавляем событие и в поле Event Name пихаем наш код.
Собственно опробовать можно на форуме разработчика: http://nextbbs.com/do_main
Продукт: NextBBS
Версия: 0.4.5
Не вижу смысла приводить код, какая-либо фильтрация отсутствует напрочь, заходим в свой профиль, уязвимы все поля (AIM Name, ICQ Number, Yahoo Identity, MSN Identity, Home Page, Location, Interests).
Также активка присутствует в общем разделе Calendar, каждый может из своего профиля добавлять туда события, добавляем событие и в поле Event Name пихаем наш код.
Собственно опробовать можно на форуме разработчика: http://nextbbs.com/do_main