|  | 

Latest Vulnerabilities

Haber-sistemi.com Haber Scripti v3 XSS Açığı

Haber Sistemi scriptinin v3 versiyonunda, Firma Rehberinde arama alanının gerektiği gibi süzülmeden sorguya dahil ediliğinden XSS açığı içerdiğini tespit ettim. Açığı test etmek için klasik <script>alert(Document.Cookie)</script> parametresini kullandığımızda site bize o anki PHPSESSID’ yi döndürüyor.

Biraz daha ileri gidilip SQL üzerinde injection da çıkarılabilir diye düşünüyorum. Site yetkilileri sanırım bu açığı kısa zamanda düzeltiler…

URL : http://www.haber-sistemi.com/v3/firma-rehberi/firmaara.html

 

haber-sistemi-com-haber-scripti-v3-xss-acigi

ABOUT THE AUTHOR

Application Security , Information and Software Security Specialist Ethical Hacker and Pentester

POST YOUR COMMENTS

Your email address will not be published. Required fields are marked *

Name *

Email *

Website