Межсайтовый скриптинг и обход ограничений безопасности

Аватар пользователя trubitsyn trubitsyn 15 августа 2008 в 23:14

Сегодня вышла статья на xakep.ru в которой утверждается, что..


Уязвимость позволяет удаленному пользователю обойти ограничения безопасности и выполнить XSS нападение на целевую систему.

1) Уязвимость существует из-за недостаточной обработки входных данных при обработке HTTP запросов. Атакующий может обманным образом заманить пользователя на специально составленный сайт, что позволит отправлять кэшированные формы и формы содержащие AHAH элементы, а также выгружать файлы.

2) Уязвимость существует из-за неправильного ограничения доступа к модулю Upload. Атакующий может редактировать ноды, удалять файлы, и загружать вложения не имея достаточных прав.

Уважаемые знатоки, внимание вопрос! Кто тормоз?!

Комментарии