ExBB Community » » Уязвимости » Уязвимость в ХSS

Страниц (1): [1]
 

1. nikk - 27 апреля 2016 — 20:00 - перейти к сообщению
Цитата:
Обнаружена проблема с безопасностью форума - любой пользователь в профиле пользователя может написать в своей подписи любой javascript - это может быть использовано для увода данных всех активных пользователей форума и в дальнейшем возможно использование их аккаунтов.


Эту брешь обнаружила участник 1Bot....
2. Александр Михалицын - 28 апреля 2016 — 10:11 - перейти к сообщению
Пусть напишет в ЛС подробнее о баге. Пофиксим.
(Добавление)
Upd: посмотрел код. Там всё фильтруется. Т.ч. точно -- пример в студию. Если баг и есть, то он не очевиден. Улыбка

1Bot применяла эксплоит из под юзера? Просто там в проверках есть исключения для админа. Админы на форуме и правда могут использовать HTML в подписи. И это не баг, а фича:
CODE:
if (defined('IS_ADMIN')) {
$fm->input['signature'] = $fm->html_replace($fm->input['signature']);
}
3. 1Bot - 28 апреля 2016 — 11:58 - перейти к сообщению
Судя по коду все фильтруется, что радует. Проба была под админской учеткой, так что степень опасности была мной явно завышена.

Просто меня удивила сама возможность вставки в подпись javascript, о чем и был уведомлен nikk, чтобы до возможного устранения отключить подпись у пользователей.

nikk , прошу прощения за излишнее беспокойство.
4. Александр Михалицын - 28 апреля 2016 — 13:04 - перейти к сообщению
Ну вот и славно, что всё прояснилось.

Яндекс.Метрика   

Powered by ExBB
[Script Execution time: 0.0136]     [ ]