XT:Commerce 3.04 SP2.1 – Vulnerabilitate XSS - Securitatea Informatica

XT:Commerce 3.04 SP2.1 – Vulnerabilitate XSS

Data:
11 noiembrie 2010

Descriere:
XT: Comert este predispus la atacuri XSS.

Un atacator trebuie să creeze un cont, sa injecteze javascript in campul “street” (ex.: “><script type=”text/javascript”>alert (document.cookie) </script>) şi sa plaseze o comandă. În cazul în care administratorul deschide comanda în backend-ul magazinului, codul javascript va fi executat.
Prin obtinerea cookie al admin, atacatorul preia session-id şi user-id. În cazul în care sesiunea şi IP-ul nu sunt legate, atacatorul va fi în măsură să preia sesiunea admin.

Soluţie:
Permite legarea de sesiune IP în backend-ul magazinului tau

Twitter Digg Delicious Stumbleupon Technorati Facebook


Nici un comentariu inca... Fii primul care lasa un comentariu!

Lasa un raspuns

This site is protected by Comment SPAM Wiper. This site is protected by WP-CopyRightPro