XSS атака через ЛС

artoodetoo · 13.08.2007 23:18

artoodetoo
May The Force be with you!
Неактивен

Откуда: Россия
Регистрация: 30.10.2006
Сообщений: 1,220
Репутация : [1|0]

Тема: XSS атака через ЛС

Некий хакер прислал такое ЛС:

Тема:
<script src=http://*/sf/xss.js></script>Насчёт модерства

Сообщение:
Здравствуйте, <*>.
У меня следующий вопрос к Вам - могу ли я стать модератором раздела "Дизайн и CSS" и что для этого нужно?

звездочками я заменил конкретный текст. на этом форуме такие финты не проходят, но если у кого-то старый мод PMS, возможно Javascript со злобного сайта выполнится. В результате от вашего имени может быть выполнено какое-то действие на форуме. Рассылаются такие письма Админам и Модерам - то есть людям с полномочиями.

Чтобы такого не произошло - следите за обновлениями модов и закрывайте дырки!

Russian FluxBB | Elektra mods on PunRes

hcs · 13.08.2007 23:25

hcs
Заслуженный флудер
Неактивен

Откуда: СССР
Регистрация: 10.02.2006
Сообщений: 5,035
Репутация : [144|0]

Re: XSS атака через ЛС

artoodetoo
к сожалению на этом форуме это проходит, у тех у кого включен поп-ап. исправление:
message_popup.php, строка 98:

<p><?php echo $lang_pms['Popup new'], $return['sender'], $lang_pms['Popup subj'], $return['subject'] ?><br><?php echo  $lang_pms['Popup send'],  format_time($return['posted']) ?></p>

заменить на:

<p><?php echo $lang_pms['Popup new'], pun_htmlspecialchars($return['sender']), $lang_pms['Popup subj'], pun_htmlspecialchars($return['subject']) ?><br><?php echo  $lang_pms['Popup send'],  format_time($return['posted']) ?></p>

FedKoFF · 15.08.2007 02:05

FedKoFF
Интересующийся
Неактивен

Регистрация: 14.01.2007
Сообщений: 81
Репутация : [0|0]

Re: XSS атака через ЛС

Писал об этом пол года назад!
Уязвимость в Приватных сообщениях.

flazy.ru

hcs · 15.08.2007 03:04

hcs
Заслуженный флудер
Неактивен

Откуда: СССР
Регистрация: 10.02.2006
Сообщений: 5,035
Репутация : [144|0]

Re: XSS атака через ЛС

FedKoFF
действительно, куда мои глаза глядели?

Dayset · 01.10.2007 03:32

Dayset
Опытный
Неактивен

Регистрация: 06.08.2007
Сообщений: 257
Репутация : [0|0]

Re: XSS атака через ЛС

Private Message Mod - hcs edition
6. Устранена мелкая дырка в защите -можно только этот пункт подробнее?

XSS атака через ЛС

Сообщений 5

1 Тема от artoodetoo 13.08.2007 23:18

Тема: XSS атака через ЛС

2 Ответ от hcs 13.08.2007 23:25

Re: XSS атака через ЛС

3 Ответ от FedKoFF 15.08.2007 02:05

Re: XSS атака через ЛС

4 Ответ от hcs 15.08.2007 03:04

Re: XSS атака через ЛС

5 Ответ от Dayset 01.10.2007 03:32

Re: XSS атака через ЛС

Сообщений 5

Просматривают тему: 1 гость, 0 пользователей --