Ciao, per farti riconoscere devi fare il login. Non ti sei ancora iscritto? Che aspetti, registrati adesso!
Scritto da Matteo No! a.k.a. undermaken il 29-11-2010 ore 16:17
Volevo informare, qualora interessasse, che questo sito è vulnerabile a Cross Site Scripting.
Il campo 'cerca negli articoli' non filtra adeguatamente l'input e quindi basta digitare nel campo:
">alert('xss') (compresi il doppio apice iniziale)
per accorgesti che è possibile eseguire codice javascript arbitrario.
Particolarmente pericoloso per cookie grabbing.
Spero di essere stato utile.
Buona Giornata a tutti.
Mat
Precedente: PROGRAMMATORE PHP/MySQL
Successiva: file openoffice.org writer
Intervento di Matteo No! a.k.a. undermaken del 29-11-2010 ore 16:21, Latina (LT)
Plebeo
(1 intervento)
Iscritto il 29-11-2010
mi sono accorto che il forum purtroppo (anzi per fortuna) non permette l'uso di tag html.
Quindi per farmi uso un altra codifica:
"><script>alert('xss')</script>
questo è quanto va inserito nel campo di ricerca e che prima non veniva visualizzato correttamente.
Ciao
Quindi per farmi uso un altra codifica:
"><script>alert('xss')</script>
questo è quanto va inserito nel campo di ricerca e che prima non veniva visualizzato correttamente.
Ciao
Copyright Programmazione.it™ 1999-2013. Alcuni diritti riservati. Testata giornalistica iscritta col n. 569 presso il Tribunale di Milano in data 14/10/2002. Pagina generata in 0.87 secondi.