doc/bugs/XSS_Alert...__33____33____33__.mdwn

   1 Respected Sir,
   2 Your website "webconverger.org" is vulnerable to XSS Attack.
   3
   4 Vulnerable Links:
   5 webconverger.org/ikiwiki.cgi?action=verify&do=signin&openid_identifier=1
   6
   7 How To Reproduce The Vulnerability :
   8
   9 1. Go to this link : webconverger.org/ikiwiki.cgi?action=verify&do=signin&openid_identifier=1
  10 2. refresh the page and intercept the http request using "brup suite" then at parameter "openid_identifier=" put xss payload
  11 3. forward the request
  12
  13 XSS Payload :
  14
  15 1. `"></script><script>prompt(909043)</script>`
  16 2. `"></script><script>prompt("XSS Alert...!!! : Hacked By Raghav Bisht")</script>`
  17 3. `"></script><script>prompt(document.cookie)</script>`
  18
  19 NOTE : Proof of concept is attached.
  20
  21
  22 Thank You...!!
  23
  24
  25 Your Faithfully,
  26 Raghav Bisht
  27 raghav007bisht@gmail.com
  28
  29 > Thanks Raghav for reporting this issue. I've fixed it in ikiwiki.
  30 >
  31 > --[[Joey]]
  32
  33 >> [[Fix released|done]] as [[news/version_3.20150329]].
  34 >>
  35 >> Please try to report security vulnerabilities in private first,
  36 >> to give maintainers a chance to fix them without making it easier
  37 >> for attackers to exploit the newly discovered vulnerability
  38 >> until the maintainer can respond ("[[!wikipedia responsible disclosure]]").
  39 >> In this particular case, I was away from my computer for a few days
  40 >> and was unable to make a release until I got back. --[[smcv]]