Уязвимости не представляют особой опасности для сайта, так что мы решили опубликовать их в открытом доступе. Destanto пишет, что XSS даёт доступ к нескольким пустым БД и не более.
Суть бага в том, что любой желающий может сгенерировать страницы в разделе «Помощь» на сайте.
Для этого достаточно всего лишь набрать URL такого вида:
http://vk.com/ads?act=office_help&oid=-19542789&p=Проверка
Вместо слова «Проверка» может быть любое слово. После этого генерируется страница в разделе «Помощь», которую кто угодно может редактировать и добавлять новый контент.
Destanto writes that XSS gives access to several empty DB and no more. Essence of a bug that any interested person can generate pages in section "Help" on a site.
For this purpose it is enough to type only URL such kind:
http://vk.com/ads?act=office_help&oid=-19542789&p=Проверка
Instead of a word "Check" there can be any word. After that the page in section "Help" which everybody can edit and add a new content is generated.
Согласен....Ещё какое м-да...
ОтветитьУдалить