BugTraq in French
Webobo Xss vulnérability Jul 03 2006 05:13PM
anasmaslouhy gmail com
Problème : Xss

Site officiel : http://www.webobo.com

Auteur : anasmaslouhy gmail com [ SOLID SCORP ]

Description FR :

## En faisant un tour sur le site d'un ami hebergé par webobo.com je tombe par hasard sur un lien auquel j'ajoute un script ( url+script ) et on a la possibilité d'écrire sur le serveur ##

exemple -> [http://site.webobo.com/rubrique.php?id_menu=<A HREF="javascript:document.location='http://www

.google.com/'">Petite XSS Découverte par SOLID-SCORP</A> ]

SACHANT QUE RUBRIQUE MARQUée SUR L'Url peut Etre : " jeux " / " photos " ... etc ;)

Solution

#########

<?php

$variable_html = '<b>Ceci est une variable qui contient du HTML</b>';

$variable_sans_html = htmlentities ($variable_html) ;

?>

Si on affiche la valeur de la variable : $variable_html le code html sera exécuté et donc "Ceci est une variable qui contient du HTML" sera affiché en gras. Par contre si on affiche la valeur de la deuxième variable : <b> Ceci est une variable qui contient du HTML</b> sera affiché sans que le code ne s'exécute.

[ reply ]


 

Privacy Statement
Copyright 2010, SecurityFocus