ExBB Community :: Версия для печати

1. nikk - 27 апреля 2016 — 20:00 - перейти к сообщению

Цитата:

Обнаружена проблема с безопасностью форума - любой пользователь в профиле пользователя может написать в своей подписи любой javascript - это может быть использовано для увода данных всех активных пользователей форума и в дальнейшем возможно использование их аккаунтов.

Эту брешь обнаружила участник 1Bot....

2. Александр Михалицын - 28 апреля 2016 — 10:11 - перейти к сообщению

Пусть напишет в ЛС подробнее о баге. Пофиксим.
(Добавление)
Upd: посмотрел код. Там всё фильтруется. Т.ч. точно -- пример в студию. Если баг и есть, то он не очевиден. Улыбка

1Bot применяла эксплоит из под юзера? Просто там в проверках есть исключения для админа. Админы на форуме и правда могут использовать HTML в подписи. И это не баг, а фича:

CODE:

if (defined('IS_ADMIN')) {
$fm->input['signature'] = $fm->html_replace($fm->input['signature']);
}

3. 1Bot - 28 апреля 2016 — 11:58 - перейти к сообщению

Судя по коду все фильтруется, что радует. Проба была под админской учеткой, так что степень опасности была мной явно завышена.

Просто меня удивила сама возможность вставки в подпись javascript, о чем и был уведомлен nikk, чтобы до возможного устранения отключить подпись у пользователей.

nikk , прошу прощения за излишнее беспокойство.

4. Александр Михалицын - 28 апреля 2016 — 13:04 - перейти к сообщению

Ну вот и славно, что всё прояснилось.