SHADOW:Group

πŸŽ“ ΠœΠ½ΠΎΠΆΠ΅ΡΡ‚Π²ΠΎ ΠΎΠ±ΡƒΡ‡Π°ΡŽΡ‰ΠΈΡ… Π·Π°Π²Π΅Π΄Π΅Π½ΠΈΠΉ уязвимо ΠΊ XSS



Π•ΡΡ‚ΡŒ довольно популярная систСма управлСния курсами, Ρ‚Π°ΠΊΠΆΠ΅ извСстная ΠΊΠ°ΠΊ систСма управлСния ΠΎΠ±ΡƒΡ‡Π΅Π½ΠΈΠ΅ΠΌ ΠΈΠ»ΠΈ Π²ΠΈΡ€Ρ‚ΡƒΠ°Π»ΡŒΠ½Π°Ρ ΠΎΠ±ΡƒΡ‡Π°ΡŽΡ‰Π°Ρ срСда, ΠΏΠΎΠ΄ Π½Π°Π·Π²Π°Π½ΠΈΠ΅ΠΌ Moodle.



И Π² этой систСмС ΡƒΠΆΠ΅ Π±ΠΎΠ»Π΅Π΅ мСсяца Π½Π°Π·Π°Π΄ нашли Reflected XSS. Π Π°Π·Ρ€Π°Π±ΠΎΡ‚Ρ‡ΠΈΠΊΠ°ΠΌ сообщили ΠΎΠ± уязвимости, ΠΎΠ΄Π½Π°ΠΊΠΎ, ΠΎΠ½ΠΈ ΠΏΠΎΡ‡Π΅ΠΌΡƒ-Ρ‚ΠΎ ΠΏΡ€ΠΎΠΈΠ³Π½ΠΎΡ€ΠΈΡ€ΠΎΠ²Π°Π»ΠΈ сообщСниС ΠΈ оставили всС ΠΊΠ°ΠΊ Π΅ΡΡ‚ΡŒ.



Π’Π°ΠΊ ΠΊΠ°ΠΊ систСма вСсьма популярна ΠΈ ΠΈΡΠΏΠΎΠ»ΡŒΠ·ΡƒΠ΅Ρ‚ΡΡ Π² ΠΎΠ±Ρ€Π°Π·ΠΎΠ²Π°Ρ‚Π΅Π»ΡŒΠ½Ρ‹Ρ… цСлях, ΠΌΡ‹ Π²ΠΈΠ΄ΠΈΠΌ большоС количСство сайтов ΡƒΡ‡Π΅Π±Π½Ρ‹Ρ… Π·Π°Π²Π΅Π΄Π΅Π½ΠΈΠΉ, Π² ΠΊΠΎΡ‚ΠΎΡ€Ρ‹Ρ… с Π»Π΅Π³ΠΊΠΎΡΡ‚ΡŒΡŽ Π½Π°Ρ…ΠΎΠ΄ΠΈΠΌ Π΄Π°Π½Π½ΡƒΡŽ ΡƒΡΠ·Π²ΠΈΠΌΠΎΡΡ‚ΡŒ.



МоТно запросто Π½Π°ΠΉΡ‚ΠΈ нСсколько сайтов Π² Π³ΡƒΠ³Π», ΠΊΠ°ΠΊ ΠΏΠΎΠΊΠ°Π·Π°Π½ΠΎ Π½Π° Π²ΠΈΠ΄Π΅ΠΎ Π²Ρ‹ΡˆΠ΅, Π° ΠΌΠΎΠΆΠ½ΠΎ ΠΈΡΠΏΠΎΠ»ΡŒΠ·ΠΎΠ²Π°Ρ‚ΡŒ Shodan, ΠΊΠΎΡ‚ΠΎΡ€Ρ‹ΠΉ ΠΏΠΎΠΊΠ°Π·Ρ‹Π²Π°Π΅Ρ‚ Π½Π°ΠΌ ΠΎΠΊΠΎΠ»ΠΎ 50ΠΊ Ρ‚Π°Ρ€Π³Π΅Ρ‚ΠΎΠ².



POC:

/mod/lti/auth.php?redirect_uri=javascript:alert(1)



#web #shodan #xss