Olá amigos.
Hoje estava surfando na internet quando descobri uma vulnerabilidade em forums com o pluguin HOTWords.
Com ele é possivel injetar XSS nos sites.
Como isso é possivel?
O Hotwords é injetado no site pelas palavras ex: compras ele abre anuncios sobre compras, mas quando injetamos um código HTML que irá aparecer estas palavras ele automaticamente faz isso aparecer no site.
Num site que não permite HTML nos posts ao você digitar algum código com “alt” e a word que o hotword busca anuncios ele exibira o anuncio e o codigo.
Explorando:
O resultado seria um iframe e quando você passase o mouse em cima iria aparecer o alt “computer buy shopping car money and compras carro site” pelo filtro do site ele não apareceria, mas a vulnerabilidade do HOTWORD faz ele ser executado.
Correção:
Estamos esperando resposta da HOTWORDS.
FONTE: Apenas usuários registrados e ativados podem ver os links., Clique aqui para se cadastrar...
Hoje estava surfando na internet quando descobri uma vulnerabilidade em forums com o pluguin HOTWords.
Com ele é possivel injetar XSS nos sites.
Como isso é possivel?
O Hotwords é injetado no site pelas palavras ex: compras ele abre anuncios sobre compras, mas quando injetamos um código HTML que irá aparecer estas palavras ele automaticamente faz isso aparecer no site.
Num site que não permite HTML nos posts ao você digitar algum código com “alt” e a word que o hotword busca anuncios ele exibira o anuncio e o codigo.
Explorando:
<iframe src="httP://www.site.com/deface" width="100%" height="600" alt="computer buy shopping car money and compras carro site">
Correção:
Estamos esperando resposta da HOTWORDS.
FONTE: Apenas usuários registrados e ativados podem ver os links., Clique aqui para se cadastrar...
Comment