Добро пожаловать! Это — архивная версия форумов на «Хакер.Ru». Она работает в режиме read-only.
 
журналы новости статьи video форум подписка на «Хакер»

XSS уязвимоcть rbccontents 4.0, возможно и выше

Пользователи, просматривающие топик: none

Зашли как: Guest
Все форумы >> [В Сети] >> XSS уязвимоcть rbccontents 4.0, возможно и выше
Имя
Сообщение << Старые топики   Новые топики >>
XSS уязвимоcть rbccontents 4.0, возможно и выше - 2009-04-06 17:32:14.373333   
caterpillar1234

Сообщений: 3
Оценки: 0
Присоединился: 2009-04-06 17:04:58.540000
 rbc как Вы знаете иногда создает сайты для разных организаций банков всяких, театров ну и т.д. и делает она это на своем движке rbccontents. при первом знакомстве мне показался, что это движок идеальный, но первое впечатление всегда обманчиво. по мере изучения созданного ими сайта я на ходил xss уязвимости, которые впоследствии доброжелательный сапорт не хотел закрывать. поэтому и пишу следующий пост:
админка обычно находится по следующему адресу http://adm.имясайта.ru. открывается форма где Вы можете ввести логин и пароль, если Вы ведете логин и пароль например <script>alert("hello")</script>, а потом войти, то Вас конечно система пошлет. Но… как оказалась все Ваши не правильные попытки записываются в журнале и админ при открытии его может посмотреть, кто ломился и с какого айпи, а вот здесь то и кроется уязвимость, введенные Вами логины и пароли ни коим образом не проверяются, поэтому при открытии журнала админу выскачет Ваше сообщение "hello".
а так как человек который открыл журнал по любому админ и наверно на 70 процентов этот узел у них находится в доверенных, то можно сделать все что угодно (все зависит от фантазии).
всего сделанных ими сайтов 900
Post #: 1
RE: XSS уязвимоcть rbccontents 4.0, возможно и выше - 2009-04-07 08:55:34.120000   
Pupkin-Zade

Сообщений: 9398
Оценки: 1489
Присоединился: 2004-03-10 13:54:16
 Вы уверены что журнал открывается именно в броузере, а не в Блокноте например??
Post #: 2
RE: XSS уязвимоcть rbccontents 4.0, возможно и выше - 2009-04-07 09:12:24.853333   
caterpillar1234

Сообщений: 3
Оценки: 0
Присоединился: 2009-04-06 17:04:58.540000
 уверен на 100%. могу и скрин в студию выложить с изображением журнала.
Если не был уверен не писал.
Post #: 3
RE: XSS уязвимоcть rbccontents 4.0, возможно и выше - 2009-04-07 10:43:33.936666   
Framus

Сообщений: 155
Оценки: 0
Присоединился: 2008-11-09 20:54:53.176666
 выкладывай! поглядим чо каво)
Post #: 4
RE: XSS уязвимоcть rbccontents 4.0, возможно и выше - 2009-04-07 12:30:34.730000   
caterpillar1234

Сообщений: 3
Оценки: 0
Присоединился: 2009-04-06 17:04:58.540000
 вот Вам журнал. если и этого мало, то можно с примером внедрения кода.
Post #: 5
Страниц:  [1]
Все форумы >> [В Сети] >> XSS уязвимоcть rbccontents 4.0, возможно и выше







Связаться:
Вопросы по сайту / xakep@glc.ru

Предупреждение: использование полученных знаний в противозаконных целях преследуется по закону.