Social Engineering

Ilse Software Erlangen

ilse-software.de – Admin dank XSS

Durch Zufall auf eine veraltete Version von Mantis (installiert: 1.0.6, aktuell: 1.2.11) aufmerksam geworden; Betreiber eine Mail mit der Lücke und URL-Shortener geschickt. Es passiert, was passieren muß: Betreiber klickt auf den Link, legt dank XSS-Lücke einen vordefinierten Admin-Account an, und der Vorgang wird auch artig per Email versandt....
In: Mantis PHP Social Engineering XSS Zugangsdaten