ExBB Community ExBB Community
 Сайт проекта ExBB Общение объединяет!
Войдите на форум при помощиВойти через loginza
 Чат на форуме      Помощь      Поиск      Пользователи     BanList BanList


 Страниц (1): [1]   

> Без описания
nikk
Отправлено: 27 апреля 2016 — 20:00
Post Id



Пользователь
Super Member


Покинул форум
Сообщений всего: 1122
Дата рег-ции: Нояб. 2009  
Репутация: 25




Цитата:
Обнаружена проблема с безопасностью форума - любой пользователь в профиле пользователя может написать в своей подписи любой javascript - это может быть использовано для увода данных всех активных пользователей форума и в дальнейшем возможно использование их аккаунтов.


Эту брешь обнаружила участник 1Bot....
 
 
Александр Михалицын
Отправлено: 28 апреля 2016 — 10:11
Post Id


Администратор
Super Member


Покинул форум
Сообщений всего: 723
Дата рег-ции: Февр. 2009  
Репутация: 42




Пусть напишет в ЛС подробнее о баге. Пофиксим.
(Добавление)
Upd: посмотрел код. Там всё фильтруется. Т.ч. точно -- пример в студию. Если баг и есть, то он не очевиден. Улыбка

1Bot применяла эксплоит из под юзера? Просто там в проверках есть исключения для админа. Админы на форуме и правда могут использовать HTML в подписи. И это не баг, а фича:
CODE:
if (defined('IS_ADMIN')) {
$fm->input['signature'] = $fm->html_replace($fm->input['signature']);
}
 
 
1Bot
Отправлено: 28 апреля 2016 — 11:58
Post Id



Пользователь
Super Member


Покинул форум
Сообщений всего: 773
Дата рег-ции: Апр. 2009  
Откуда: Днепропетровск
Репутация: 69




Судя по коду все фильтруется, что радует. Проба была под админской учеткой, так что степень опасности была мной явно завышена.

Просто меня удивила сама возможность вставки в подпись javascript, о чем и был уведомлен nikk, чтобы до возможного устранения отключить подпись у пользователей.

nikk , прошу прощения за излишнее беспокойство.

(Отредактировано автором: 28 апреля 2016 — 12:03)

 
 
Александр Михалицын
Отправлено: 28 апреля 2016 — 13:04
Post Id


Администратор
Super Member


Покинул форум
Сообщений всего: 723
Дата рег-ции: Февр. 2009  
Репутация: 42




Ну вот и славно, что всё прояснилось.
 
 
Страниц (1): [1]
Сейчас эту тему просматривают: 1 (гостей: 1, зарегистрированных: 0)
« Уязвимости »

> Похожие темы: Уязвимость в ХSS
Темы Форум Информация о теме Обновление
Уязвимость на форуме?
Уязвимости Ответов: 37
Автор темы: Иван Петров
21 января 2014 — 16:33
Автор: murmurishka
 



Все гости форума могут просматривать этот раздел.
Только администраторы и модераторы могут создавать новые темы в этом разделе.
Только администраторы и модераторы могут отвечать на сообщения в этом разделе.
 




Яндекс.Метрика   

Powered by ExBB
ExBB FM 1.0 RC1 by TvoyWeb.ru
InvisionExBB Style converted by Markus®

[Script Execution time: 0.0937]     [ ]