Перейти к публикации
Дизайн и модификация IPS Community IPBSkinsBETA
Поиск в
  • Дополнительно...
Искать результаты, содержащие...
Искать результаты в...
Гость RSS-Bot

Важное с Sysman.Ru: Passive XSS

Рекомендованные сообщения

Гость RSS-Bot

Song:

 

"Пассивная XSS" - это XSS нападение, которое может инициировать нападавший только сам для себя. Т.е. например он может послать снифферу только свои куки, что конечно же не является какой-либо угрозой для остальных лиц форума.

 

Но тем не менее это один из "косяков" форума. Говоря другими словами, если форум пропускает XSS, это является его недоработкой.

 

Симптомы:

- Создайте новое личное сообщение

- В поле заголовка письма укажите:

Цитата
"><sсriрt>alert(ipb_md5_check);</sсriрt>

- В поле тела письма любой текст

- Нажмите "Предпросмотр"

 

Исправление:

Найдите:

Цитата (sources/lib/func_msg.php)
[color=#048284]$old_title[/color]   = preg_replace( "/'/", "'", [color=#048284]$this[/color]->ipsclass->txt_stripslashes([color=#048284]$_POST[/color]['msg_title']) );

 

Замените на:

[color=#048284]$old_title[/color]   = [color=#048284]$this[/color]->ipsclass->parse_clean_value([color=#048284]$_POST[/color]['msg_title']);

Поделиться сообщением


Ссылка на сообщение
Гость
Эта тема закрыта для публикации сообщений.

  • Сейчас на странице   0 пользователей

    Нет пользователей, просматривающих эту страницу.

×
×
  • Создать...