El día 9/01/10 el señor Andrés Gómez, miembro del staff de HYPERNETHOST & Security-Pentest ha descubierto una vulnerabilidad para “Exotic-Cams ” de “PPVChat”, la cuál permite a un atacante inyectar código html arbitrariamente. Permitiendole así modificar el index de la página o bien robarse las cookies de un administrador de la misma.
##########################[HYPERNETHOST]##########################
# Ejemplo LFI: http://server/registration/model.php |
# Ejemplo XSS: Vaya a registration/user.php y en "City" ponga %00"'> |
# Acepte el formulario y vea la respuesta.
|
######################################################################## |
# Usuarios malintencionados podrían inyectar código JavaScript, VBScript, ActiveX, HTML o Flash# dentro de la aplicacion vulnerable. Con la finalidad de obtener información "privilegiada".
# Un atacante podría robarle las cookies a un administrador.
|
######################################################################## |
#Solución para LFI: Verifique que el script este correctamente validado.
#Solución para XSS:
# $_GET = preg_replace(“|([^\w\s\'])|i”,”,$_GET);
# $_POST = preg_replace(“|([^\w\s\'])|i”,”,$_POST);
|
######################################################################## |
##########################[HYPERNETHOST]#################################
