1

Тема: Найдены XSS уязвимости в файлах форума!

Найдены XSS уязвимости в файлах search.php (входящие переменные - action, author, search_in, sort_by, sort_dir, show_as, search, keywords), topic.php и login.php (входящие переменные - username, show_group, sort_dir, search, sort_by). Сканирование произведено Subgraph Vega. Кто что думает по этому поводу?

Поделиться

2

Re: Найдены XSS уязвимости в файлах форума!

ЧТо это

Захочешь — найдешь время, не захочешь — найдешь причину.

Поделиться

3 (22.08.2012 17:07 отредактировано zevilz13)

Re: Найдены XSS уязвимости в файлах форума!

hcs пишет:

ЧТо это

Межсайтовый скриптинг - возможность внедрения в url кода, запускающего скрипт с другого сайта. Хакер размещает на каком-либо сайте ссылку на страницу сайта дописывает к уязвимому значению переменной в url код, запускающий скрипт с другого сайта. Любой юзер нажимает на такую ссылку, успешно переходит куда хотел, и параллельно незаметно от него запускается скрипт. В скрипте может быть что угодно: от простого вывода сообщения до DDOS и заполучения доступа к любой учетке сайта.

Поделиться

4

Re: Найдены XSS уязвимости в файлах форума!

Я знаю, что такое xss, я спрашиваю что это, откуда это взялось:

Найдены XSS уязвимости в файлах search.php (входящие переменные - action, author, search_in, sort_by, sort_dir, show_as, search, keywords), topic.php и login.php (входящие переменные - username, show_group, sort_dir, search, sort_by). Сканирование произведено Subgraph Vega.

А то ведь понаписать-то можно всё что угодно.

Захочешь — найдешь время, не захочешь — найдешь причину.

Поделиться

5

Re: Найдены XSS уязвимости в файлах форума!

hcs пишет:

Я знаю, что такое xss, я спрашиваю что это, откуда это взялось:

Найдены XSS уязвимости в файлах search.php (входящие переменные - action, author, search_in, sort_by, sort_dir, show_as, search, keywords), topic.php и login.php (входящие переменные - username, show_group, sort_dir, search, sort_by). Сканирование произведено Subgraph Vega.

А то ведь понаписать-то можно всё что угодно.

Это я сканировал прогой Vega

Добавлено спустя 7 минут 33 секунды:

Вот скрин

Post's attachments

Снимок.png 103.7 Кб, 2 скачиваний с 2012-08-23 

You don't have the permssions to download the attachments of this post.

Поделиться

6

Re: Найдены XSS уязвимости в файлах форума!

И что, эта прога все входящие переменные считает уязвимостями?
Вобщем я по этому поводу ничего не думаю. Будут эксплойты, будем думать.

Захочешь — найдешь время, не захочешь — найдешь причину.

Поделиться

7

Re: Найдены XSS уязвимости в файлах форума!

в этом списке были и две ссылки с моего сайта. дополнительно отфильтровал данные в скрипте, просканил еще раз - ссылки сайта с уязвимыми параметрами исчезли из списка

Добавлено спустя 2 минуты 54 секунды:

А какой файл/функция занимается обработкой $_GET и $_POST данными?

Поделиться