<p><strong>Overview</strong><br><a href="http://wwww.shopathometv.com/">http://wwww.shopathometv.com</a>, A popular website whos television program runs late night on local syndicated television is vulnerable to multiple xxs flaws. While shopping their site last night, they did not have a product I was looking for when I entered an item number so I decided to test a few things.&nbsp;
<br>&nbsp;<br><strong>1st Bug</strong><br>&nbsp;<br>The main search box input is not sanitized on the front page. Simply go to <a href="http://www.shopathometv.com/">http://www.shopathometv.com</a> and in their product search box type in &lt;script&gt;alert(
document.cookie );&lt;/script&gt; hit the Go inside the circle. When the page finishes loading if you are a user signed up (have&#39;nt tested not signed up) you will get displayed all of your session variables.<br>&nbsp;<br><strong>
2nd Bug</strong><br>&nbsp;<br>On the The following page there is an xxs inside the showTitle GET variable. Click the link below<br><a href="https://www.shopathometv.com/programguide/thumbnail.jsp?date=null&amp;showId=3203180&amp;showTitle=&lt;script&gt;alert(document.cookie);&lt;/script&gt;&amp;sortType=Best%20Selling">
https://www.shopathometv.com/programguide/thumbnail.jsp?date=null&amp;showId=3203180&amp;showTitle=&lt;script&gt;alert(document.cookie);&lt;/script&gt;&amp;sortType=Best%20Selling</a> <br>&nbsp;<br><strong>Fix<br></strong>Sanitize all input variables.
<br>&nbsp;<br><strong>Conclusion</strong><br>will not be shopping there until this is fixed.<br>&nbsp;<br>-suckure</p>