"Пассивная XSS" - это XSS нападение, которое может инициировать нападавший только сам для себя. Т.е. например он может послать снифферу только свои куки, что конечно же не является какой-либо угрозой для остальных лиц форума.
Но тем не менее это один из "косяков" форума. Говоря другими словами, если форум пропускает XSS, это является его недоработкой.
Song:
"Пассивная XSS" - это XSS нападение, которое может инициировать нападавший только сам для себя. Т.е. например он может послать снифферу только свои куки, что конечно же не является какой-либо угрозой для остальных лиц форума.
Но тем не менее это один из "косяков" форума. Говоря другими словами, если форум пропускает XSS, это является его недоработкой.
Симптомы:
- Создайте новое личное сообщение
- В поле заголовка письма укажите:
- В поле тела письма любой текст
- Нажмите "Предпросмотр"
Исправление:
Найдите:
Замените на:
[color=#048284]$old_title[/color] = [color=#048284]$this[/color]->ipsclass->parse_clean_value([color=#048284]$_POST[/color]['msg_title']);