Русское сообщество fluxbb

Быстрый лёгкий надёжный форумный движок

Вы не вошли.

Объявление

Вы можете внести свой вклад в содержание сайта. Жертвователи попадут в почетную группу "Спонсоры". Поддержать сайт.

#1 2007-08-14 10:18:20

artoodetoo
Гость

XSS атака через ЛС

Некий хакер прислал такое ЛС:

Тема:
<script src=http://*/sf/xss.js></script>Насчёт модерства

Сообщение:
Здравствуйте, <*>.
У меня следующий вопрос к Вам - могу ли я стать модератором раздела "Дизайн и CSS" и что для этого нужно?

звездочками я заменил конкретный текст. на этом форуме такие финты не проходят, но если у кого-то старый мод PMS, возможно Javascript со злобного сайта выполнится. В результате от вашего имени может быть выполнено какое-то действие на форуме. Рассылаются такие письма Админам и Модерам - то есть людям с полномочиями.

Чтобы такого не произошло - следите за обновлениями модов и закрывайте дырки!

#2 2007-08-14 10:25:51

hcs
Гость

Re: XSS атака через ЛС

artoodetoo
к сожалению на этом форуме это проходит, у тех у кого включен поп-ап.  исправление:
message_popup.php, строка 98:

<p><?php echo $lang_pms['Popup new'], $return['sender'], $lang_pms['Popup subj'], $return['subject'] ?><br><?php echo  $lang_pms['Popup send'],  format_time($return['posted']) ?></p>

заменить на:

<p><?php echo $lang_pms['Popup new'], pun_htmlspecialchars($return['sender']), $lang_pms['Popup subj'], pun_htmlspecialchars($return['subject']) ?><br><?php echo  $lang_pms['Popup send'],  format_time($return['posted']) ?></p>

#3 2007-08-15 13:05:19

FedKoFF
Гость

Re: XSS атака через ЛС

Писал об этом пол года назад!
Уязвимость в Приватных сообщениях.

#4 2007-08-15 14:04:32

hcs
Гость

Re: XSS атака через ЛС

FedKoFF
действительно, куда мои глаза глядели? smile

#5 2007-10-01 14:32:41

Dayset
Гость

Re: XSS атака через ЛС

Private Message Mod - hcs edition
6. Устранена мелкая дырка в защите -можно только этот пункт подробнее?

Подвал доски

Под управлением FluxBB. Хостинг Hostens