Уязвимость XSS в Add Topic Title Info to Last Post column

hcs · 22.01.2007 04:58

hcs
Заслуженный флудер
Неактивен

Откуда: СССР
Регистрация: 10.02.2006
Сообщений: 5,035
Репутация : [144|0]

Тема: Уязвимость XSS в Add Topic Title Info to Last Post column

Обнаружена уязвимость в моде Add Topic Title Info to Last Post column on Main Page
Отсутствие конвертирования хтмл-сущностей может повлечь массовую кражу cookie, с последующим получением злоумышленником доступа вплоть до админ-центра.
Всем установившим этот мод необходимо обязательно сделать следующее:
1. открыть index.php
2. найти строку:

$last_post = '<a href="viewtopic.php?pid='.$cur_forum['last_post_id'].'#p'.$cur_forum['last_post_id'].'">'.$cur_forum['subject'].'</a> <span class="byuser">'.format_time($cur_forum['last_post']).'  -  '.$lang_common['by'].' '.pun_htmlspecialchars($cur_forum['last_poster']).'</span>';

3. в этой строке заменить:

$cur_forum['subject']

на это:

pun_htmlspecialchars($cur_forum['subject'])

torg · 24.04.2007 15:28

torg
Опытный
Неактивен

Откуда: Тюмень
Регистрация: 12.04.2006
Сообщений: 232

Re: Уязвимость XSS в Add Topic Title Info to Last Post column

hcs
Можно сделать тут пошагово сразу исправленную версию полностью. Чтобы не искать хвосты.
Типа ищем строку XXX и меняем это на то-то.
Сейчас посмотрел вроде делал все верно, но что то не сходится.

Мой вегетарианский форум на PunBB.

hcs · 24.04.2007 17:07

hcs
Заслуженный флудер
Неактивен

Откуда: СССР
Регистрация: 10.02.2006
Сообщений: 5,035
Репутация : [144|0]

Re: Уязвимость XSS в Add Topic Title Info to Last Post column

А чем инструкция не пошаговая? Мод изменяет одну строку в index.php, а именно добавляет вывод названия темы, вместо времени темы. Нужно название темы конвертировать перед выдачей.

niikto · 24.04.2007 19:20

niikto
Гуру
Неактивен

Откуда: Омск, Россия
Регистрация: 07.03.2007
Сообщений: 606
Репутация : [0|0]

Re: Уязвимость XSS в Add Topic Title Info to Last Post column

а я уж было испугался! - давно всё поправлено.
инструкция нормальная, torg ты что???

русификатор punBB: сборка hcs и русская админка punbb, сборка Dexus, PunDokuWiki
сборка PE006 - сайт на PunBB
отлаженная сборка hcs+EFU

torg · 25.04.2007 00:38

torg
Опытный
Неактивен

Откуда: Тюмень
Регистрация: 12.04.2006
Сообщений: 232

Re: Уязвимость XSS в Add Topic Title Info to Last Post column

niikto
Имею ввиду чтобы было так. С ошибкой мод чтобы был полностью исправлен. Его исправили?
Думаю не удобно ставить мод с ошибкой, а потом искать строку и исправлять. Мне попалось два раза строка. Может что не так сделал. Было бы лучше чтобы указывалось номер строки. То есть чтобы сделать за один проход.

Мой вегетарианский форум на PunBB.

hcs · 25.04.2007 01:03

hcs
Заслуженный флудер
Неактивен

Откуда: СССР
Регистрация: 10.02.2006
Сообщений: 5,035
Репутация : [144|0]

Re: Уязвимость XSS в Add Topic Title Info to Last Post column

torg
Я оставил в теме этого мода на punres.org сообщение, так что это теперь забота автора. строка:

$last_post = '<a href="viewtopic.php?pid='.$cur_forum['last_post_id'].'#p'.$cur_forum['last_post_id'].'">'.$cur_forum['subject'].'</a> <span class="byuser">'.format_time($cur_forum['last_post']).'  -  '.$lang_common['by'].' '.pun_htmlspecialchars($cur_forum['last_poster']).'</span>';

тебе попалась два раза?

niikto · 25.04.2007 10:06

niikto
Гуру
Неактивен

Откуда: Омск, Россия
Регистрация: 07.03.2007
Сообщений: 606
Репутация : [0|0]

Re: Уязвимость XSS в Add Topic Title Info to Last Post column

номер строки разный - если у тебя иные моды чем у меня.
Если хочешь чтобы исправили оригинальный мод - напиши его куратору на панресе

русификатор punBB: сборка hcs и русская админка punbb, сборка Dexus, PunDokuWiki
сборка PE006 - сайт на PunBB
отлаженная сборка hcs+EFU

torg · 27.04.2007 14:52

torg
Опытный
Неактивен

Откуда: Тюмень
Регистрация: 12.04.2006
Сообщений: 232

Re: Уязвимость XSS в Add Topic Title Info to Last Post column

hcs
Вроде два раза что-то попадалось.
Просто уточните в каких строках искать и что заменять.
Обычно моды деются на не измененных файлах.
К примеру моды на invision читал всегда какую строку и где заменять. Полностью.

niikto
Моды не ставил больше. Все стандартно, то есть.

Попробую снова потом. Сделаю как с punres потом поищу строку нужную.
На моем форуме вроде работает. Запросы при выводе тем на главгную уменьшились до 9-ти.

Мой вегетарианский форум на PunBB.

maximum · 27.04.2007 22:08

maximum
Мастер
Неактивен

Регистрация: 03.05.2006
Сообщений: 339
Репутация : [0|0]

Re: Уязвимость XSS в Add Topic Title Info to Last Post column

torg пишет:

Вроде два раза что-то попадалось.
Просто уточните в каких строках искать и что заменять.
Обычно моды деются на не измененных файлах.
К примеру моды на invision читал всегда какую строку и где заменять. Полностью.

Дык в первом посте топика и написано, что на что.

Плевать как делаются моды, тут даже в оригинальныф файлах могут быть серьёзные различия в зависимости от версий.

Пользуйте поиск в вашем текстовом редакторе, а если уж очень туго, то прогу WinMerge.

Есть блог, и даже не один?

niikto · 04.05.2007 10:06

niikto
Гуру
Неактивен

Откуда: Омск, Россия
Регистрация: 07.03.2007
Сообщений: 606
Репутация : [0|0]

Re: Уязвимость XSS в Add Topic Title Info to Last Post column

юзай акельпад: fouroom.ru/viewtopic.php?id=71

Добавлено спустя 34 секунды:
обана, а куда делось сообщение torg ?

русификатор punBB: сборка hcs и русская админка punbb, сборка Dexus, PunDokuWiki
сборка PE006 - сайт на PunBB
отлаженная сборка hcs+EFU

torg · 04.05.2007 10:10

torg
Опытный
Неактивен

Откуда: Тюмень
Регистрация: 12.04.2006
Сообщений: 232

Re: Уязвимость XSS в Add Topic Title Info to Last Post column

У меня в новом punbb 1.2.15 в index.php в 111 строке значит.

Мой вегетарианский форум на PunBB.

jeder · 13.05.2008 08:50

jeder
В теме
Неактивен

Регистрация: 01.09.2007
Сообщений: 182
Репутация : [0|0]

Re: Уязвимость XSS в Add Topic Title Info to Last Post column

hcs пишет:

Обнаружена уязвимость в моде Add Topic Title Info to Last Post column on Main Page

А это было исправлено в вашей сборке 1.2.15?

PunBB JE 1.2.22 UTF-8 и Win-1251

zolotivan · 18.07.2008 02:23

zolotivan
Новичок
Неактивен

Регистрация: 05.07.2008
Сообщений: 9
Репутация : [0|0]

Re: Уязвимость XSS в Add Topic Title Info to Last Post column

кто-нибудь может прокомментировать то, что творится на форуме banex.kz (раздел "О форуме" ), прямую ссылку не могу дать.

private_joker · 19.07.2008 01:48

private_joker
Интересующийся
Неактивен

Регистрация: 13.02.2008
Сообщений: 51
Репутация : [0|0]

Re: Уязвимость XSS в Add Topic Title Info to Last Post column

zolotivan пишет:

кто-нибудь может прокомментировать то, что творится на форуме banex.kz (раздел "О форуме" ), прямую ссылку не могу дать.

Капчу надо ставить и проверять валидность емейла. Хотя к топику это вроде вообще не относится.

Уязвимость XSS в Add Topic Title Info to Last Post column

Сообщений 14

1 Тема от hcs 22.01.2007 04:58

Тема: Уязвимость XSS в Add Topic Title Info to Last Post column

2 Ответ от torg 24.04.2007 15:28

Re: Уязвимость XSS в Add Topic Title Info to Last Post column

3 Ответ от hcs 24.04.2007 17:07

Re: Уязвимость XSS в Add Topic Title Info to Last Post column

4 Ответ от niikto 24.04.2007 19:20

Re: Уязвимость XSS в Add Topic Title Info to Last Post column

5 Ответ от torg 25.04.2007 00:38

Re: Уязвимость XSS в Add Topic Title Info to Last Post column

6 Ответ от hcs 25.04.2007 01:03

Re: Уязвимость XSS в Add Topic Title Info to Last Post column

7 Ответ от niikto 25.04.2007 10:06

Re: Уязвимость XSS в Add Topic Title Info to Last Post column

8 Ответ от torg 27.04.2007 14:52

Re: Уязвимость XSS в Add Topic Title Info to Last Post column

9 Ответ от maximum 27.04.2007 22:08

Re: Уязвимость XSS в Add Topic Title Info to Last Post column

10 Ответ от niikto 04.05.2007 10:06

Re: Уязвимость XSS в Add Topic Title Info to Last Post column

11 Ответ от torg 04.05.2007 10:10

Re: Уязвимость XSS в Add Topic Title Info to Last Post column

12 Ответ от jeder 13.05.2008 08:50

Re: Уязвимость XSS в Add Topic Title Info to Last Post column

13 Ответ от zolotivan 18.07.2008 02:23

Re: Уязвимость XSS в Add Topic Title Info to Last Post column

14 Ответ от private_joker 19.07.2008 01:48

Re: Уязвимость XSS в Add Topic Title Info to Last Post column

Сообщений 14

Просматривают тему: 1 гость, 0 пользователей --