Русское сообщество fluxbb

Быстрый лёгкий надёжный форумный движок

Вы не вошли.

Объявление

Вы можете внести свой вклад в содержание сайта. Жертвователи попадут в почетную группу "Спонсоры". Поддержать сайт.

#1 2007-01-22 15:58:20

hcs
Гость

Уязвимость XSS в Add Topic Title Info to Last Post column

Обнаружена уязвимость в моде  Add Topic Title Info to Last Post column on Main Page
Отсутствие конвертирования хтмл-сущностей может повлечь массовую кражу cookie, с последующим получением злоумышленником доступа вплоть до админ-центра.
Всем установившим этот мод необходимо обязательно сделать следующее:
1. открыть index.php
2. найти строку:

$last_post = '<a href="viewtopic.php?pid='.$cur_forum['last_post_id'].'#p'.$cur_forum['last_post_id'].'">'.$cur_forum['subject'].'</a> <span class="byuser">'.format_time($cur_forum['last_post']).'  -  '.$lang_common['by'].' '.pun_htmlspecialchars($cur_forum['last_poster']).'</span>';

3. в этой строке заменить:

$cur_forum['subject']

на это:

pun_htmlspecialchars($cur_forum['subject'])

#2 2007-04-25 02:28:07

torg
Гость

Re: Уязвимость XSS в Add Topic Title Info to Last Post column

hcs
Можно сделать тут пошагово сразу исправленную версию полностью. Чтобы не искать хвосты.
Типа ищем строку XXX и меняем это на то-то.
Сейчас посмотрел вроде делал все верно, но что то не сходится.

#3 2007-04-25 04:07:14

hcs
Гость

Re: Уязвимость XSS в Add Topic Title Info to Last Post column

А чем инструкция не пошаговая? Мод изменяет одну строку в index.php, а именно добавляет вывод названия темы, вместо времени темы. Нужно название темы конвертировать перед выдачей.

#4 2007-04-25 06:20:26

niikto
Гость

Re: Уязвимость XSS в Add Topic Title Info to Last Post column

а я уж было испугался! - давно всё поправлено.
инструкция нормальная, torg ты что???

#5 2007-04-25 11:38:03

torg
Гость

Re: Уязвимость XSS в Add Topic Title Info to Last Post column

niikto
Имею ввиду чтобы было так. С ошибкой мод чтобы был полностью исправлен. Его исправили?
Думаю не удобно ставить мод с ошибкой, а потом искать строку и исправлять. Мне попалось два раза строка. Может что не так сделал. Было бы лучше чтобы указывалось номер строки. То есть чтобы сделать за один проход.

#6 2007-04-25 12:03:46

hcs
Гость

Re: Уязвимость XSS в Add Topic Title Info to Last Post column

torg
Я оставил в теме этого мода на punres.org сообщение, так что это теперь забота автора.  строка:

$last_post = '<a href="viewtopic.php?pid='.$cur_forum['last_post_id'].'#p'.$cur_forum['last_post_id'].'">'.$cur_forum['subject'].'</a> <span class="byuser">'.format_time($cur_forum['last_post']).'  -  '.$lang_common['by'].' '.pun_htmlspecialchars($cur_forum['last_poster']).'</span>';

тебе попалась два раза?

#7 2007-04-25 21:06:38

niikto
Гость

Re: Уязвимость XSS в Add Topic Title Info to Last Post column

номер строки разный - если у тебя иные моды чем у меня.
Если хочешь чтобы исправили оригинальный мод - напиши его куратору на панресе

#8 2007-04-28 01:52:02

torg
Гость

Re: Уязвимость XSS в Add Topic Title Info to Last Post column

hcs
Вроде два раза что-то попадалось.
Просто уточните в каких строках искать и что заменять.
Обычно моды деются на не измененных файлах.
К примеру моды на invision читал всегда какую строку и где заменять. Полностью.

niikto
Моды не ставил больше. Все стандартно, то есть.

Попробую снова потом. Сделаю как с punres потом поищу строку нужную.
На моем форуме вроде работает. Запросы при выводе тем на главгную уменьшились до 9-ти.

#9 2007-04-28 09:08:31

maximum
Гость

Re: Уязвимость XSS в Add Topic Title Info to Last Post column

torg пишет:

Вроде два раза что-то попадалось.
Просто уточните в каких строках искать и что заменять.
Обычно моды деются на не измененных файлах.
К примеру моды на invision читал всегда какую строку и где заменять. Полностью.

Дык в первом посте топика и написано, что на что.

Плевать как делаются моды, тут даже в оригинальныф файлах могут быть серьёзные различия в зависимости от версий.

Пользуйте поиск в вашем текстовом редакторе, а если уж очень туго, то прогу WinMerge.

#10 2007-05-04 21:06:30

niikto
Гость

Re: Уязвимость XSS в Add Topic Title Info to Last Post column

юзай акельпад: http://fouroom.ru/viewtopic.php?id=71

Добавлено спустя       34 секунды:
обана, а куда делось сообщение torg ?

#11 2007-05-04 21:10:29

torg
Гость

Re: Уязвимость XSS в Add Topic Title Info to Last Post column

У меня в новом punbb 1.2.15 в index.php в 111 строке значит.

#12 2008-05-13 19:50:56

jeder
Гость

Re: Уязвимость XSS в Add Topic Title Info to Last Post column

hcs пишет:

Обнаружена уязвимость в моде  Add Topic Title Info to Last Post column on Main Page

А это было исправлено в вашей сборке 1.2.15?

#13 2008-07-18 13:23:32

zolotivan
Гость

Re: Уязвимость XSS в Add Topic Title Info to Last Post column

кто-нибудь может прокомментировать то, что творится на форуме banex.kz (раздел "О форуме" ), прямую ссылку не могу дать.

#14 2008-07-19 12:48:40

private_joker
Гость

Re: Уязвимость XSS в Add Topic Title Info to Last Post column

zolotivan пишет:

кто-нибудь может прокомментировать то, что творится на форуме banex.kz (раздел "О форуме" ), прямую ссылку не могу дать.

Капчу надо ставить и проверять валидность емейла. Хотя к топику это вроде вообще не относится.

Подвал доски

Под управлением FluxBB. Хостинг Hostens