Bir başka WordPress blogu.
cvZip’de XSS açığı
30Ağu2008 Kategori: Güvenlik Yazar: ismet öztürk
“Bilişim Sektöründe Kariyer” üzerine yoğunlaşmış olan cvZip sitesinden bugün aldığım, SmartMessage altyapısı kullanılarak atılmış bir reklam emaili (kısaca SPAM) sonucunda merak edip siteye üye oldum. İlgimi çeken birşeyler var mı diye bakarken arama kutusuna “><script>alert(document.cookie);</script> yazdım ve XSS açığı olduğunu farkettim. Durumu email ile ilgililere ilettim.
Yukarıdaki ekran görüntüsü alabilmek için form method değerini Firebug ile GET yaptım. Konuyla ilgili geridönüş olursa durumu bu yazıyı güncelleyerek size ileteceğim.
Güncelleme: Aşağıdaki yorumda Bahadır Bey’in belirttiğine göre açık kapatılmış 
- Etiketler: cvZip, güvenlik açığı, XSS
tarek
15 Eylül 2008 saat 21:39
Hi there;
so what is the problem is that a bug? what you can for us ? can you solve the problem ?
can you give more info plz
ismet öztürk
17 Eylül 2008 saat 20:35
It is a Cross-Site scripting vulnerability that can let hackers to steal your visitors cookies. For example hacker can add malicious scripts to your site by entering code to serach box and email this link to victims (your visitors). To prevent XSS on your web site you have to filter every input from user.
There are several xss filter functions on the web. I recommend you to use this one: http://kallahar.com/smallprojects/php_xss_filter_function.php
Bahadir
20 Eylül 2008 saat 20:33
Bu yazıyı kaldırmanızı rica ediyorum, gerekli değişiklikler yapıldı ve açık kapatıldı.
Teşekkürler