XSS در METAROA.com - قسمت سوم

قسمت قبل

در این جا کد زیر را تزریق می نماییم :

در این حالت مشاهده می شود که XSS برروی بخش MoreTools اعمال می گردد !

XSS در METAROA.com - قسمت دوم

قسمت قبل

... در این صورت خطایی به صورت زیر مشاهده می شود !

این خطا مربوط به تزریق یک کد اسکریپت است . اما ما در اینجا از اسکریپت کد خاصی استفاده نکردیم و فقط از یک فرمان ساده ی HTML استفاده نمودیم که این فرمان تنها باید واژه ی XSS  را به صورت Header1 نمایش دهد .

اما علت این موضوع ...

بعد از سرچ ، سرس کد صفحه را بررسی می کنیم !

کد فوق در خط 259 سرس کد مشاهده می شود ، در اصل این کد ناشی از محتوای "توضیحات" یکی از موارد یافته شده در جستوجو می باشد ، زمانی که ما از کد HTML موردنظر XSSجهت  استفاده کردیم کد فوق که در اصل یک متن بوده به صورت یک کد در آمده ، اسکریپت کد (alert(1337 سبب ایجاد پیغام خطا و HTML کد merquee سبب به حرکت درآمدن واژه ی XSS  در سراسر صفحه شده !

XSS در METAROA.com - قسمت اول

لینک ثبت در packetstormsecurity 

این آسیب پذیری ناشی از عدم فیلتر گذاری مناسب برروی کارکتر های ورودی است . در این صورت بدون هیچ پردازشی بر روی داده های ورودی آن ها به نمایش گذاشته می شوند !
کدهای php :

کد HTML مربوط به فرم سرچ:

اما نکته ی بسیار جالب در مورد این سایت !!!

کد زیر را به تزریق کردم :

 

اما...

ادامه مطلب در قسمت بعدی...