"Пассивная XSS" - это XSS нападение, которое может инициировать нападавший только сам для себя. Т.е. например он может послать снифферу только свои куки, что конечно же не является какой-либо угрозой для остальных лиц форума.
Но тем не менее это один из "косяков" форума. Говоря другими словами, если форум пропускает XSS, это является его недоработкой.
При использовании данного сайта, вы согласаетесь с Условия использования и Чтобы сделать этот веб-сайт лучше, мы разместили cookies на вашем устройстве. Вы можете изменить свои настройки cookies, в противном случае мы будем считать, что вы согласны с этим..
Song:
"Пассивная XSS" - это XSS нападение, которое может инициировать нападавший только сам для себя. Т.е. например он может послать снифферу только свои куки, что конечно же не является какой-либо угрозой для остальных лиц форума.
Но тем не менее это один из "косяков" форума. Говоря другими словами, если форум пропускает XSS, это является его недоработкой.
Симптомы:
- Создайте новое личное сообщение
- В поле заголовка письма укажите:
- В поле тела письма любой текст
- Нажмите "Предпросмотр"
Исправление:
Найдите:
Замените на:
[color=#048284]$old_title[/color] = [color=#048284]$this[/color]->ipsclass->parse_clean_value([color=#048284]$_POST[/color]['msg_title']);