Haber-sistemi.com Haber Scripti v3 XSS Açığı
Haber Sistemi scriptinin v3 versiyonunda, Firma Rehberinde arama alanının gerektiği gibi süzülmeden sorguya dahil ediliğinden XSS açığı içerdiğini tespit ettim. Açığı test etmek için klasik <script>alert(Document.Cookie)</script> parametresini kullandığımızda site bize o anki PHPSESSID’ yi döndürüyor.
Biraz daha ileri gidilip SQL üzerinde injection da çıkarılabilir diye düşünüyorum. Site yetkilileri sanırım bu açığı kısa zamanda düzeltiler…
URL : http://www.haber-sistemi.com/v3/firma-rehberi/firmaara.html
POST YOUR COMMENTS
You must be logged in to post a comment.