В личном звании можно вставлять HTML-тэги: вешает весь форум нах. пишу к примеру:
<script>
alert('PREVED');
</script>
- весь форум вылетает при просмотре любого моего поста. Более того выводит на экран хэш пароля и кучу других js переменных.

Но это звание есть тока у модеров :( - но уже есть уязвимость. А то писали, что совсем нет... Можно модером ломать весь форум...

Ну да...можно быть может...но вот как заполучить хэш хотя бы того же модератора?...
Нужно знать как добыть сам хэш, а там уже можно будет сообразить что с форумом сделать...

[/QUOTE]В личном звании можно вставлять HTML-тэги: вешает весь форум нах. пишу к примеру:
<script>
alert('PREVED');
</script>
- весь форум вылетает при просмотре любого моего поста. Более того выводит на экран хэш пароля и кучу других js переменных.[QUOTE]
...
как это исправить, те я создал такого пользователя и теперь не могу зайти в настройки, подскажите что делать?

Такие баги сплошь и рядом в админках. Только толку от них? Обычно все ищут xss дабы получить админ доступ и т.п. А зачем это нужно, если ты уже админ :)

Это понятно, сейчас прописал сделал такого пользователя и немогу в админку зайти или еще куда-нить, чтоб исправить личное звание или хотя бы удалить это пользователя.....что делать, кто-нибудь знает?
Или это можно как-нибудь исравить этот баг? Весь форум рухнул, не знаю что делать...

всё равно спс я модер на нескольких лажовых форумах попобую )))

в админках дохера дыр, согласен с fucker"ok, но толку то от них?

ужоснах

такая же бага присутствует во всех последних булках.. и как правильно сказал fucker"ok, она есть сплошь и рядом.. на днях тока кое-кто выложил инфу про подобные баги в vBulletin на багтрак, над этим адвисори разработчики тока посмеялись (а зря)..

2lexer666 - когда я сотворил подобное в vBulletin, то пришлось править запись в БД форума..

Извияюсь, что не в тему. Я однажды вставил на форуме alert(' TRIAL PERIOD EXPIRED!\nPlease, buy valid license key. '); и чел повёлся! :D

Более того выводит на экран хэш пароля и кучу других js переменных.

а можно сделать так: попросить друга модера воткнуть такое чудо в звание админа и впоследсдвии узнать его пасс а потом попросить убрать из звания? или я чтото не понял... :confused:

а можно сделать так: попросить друга модера воткнуть такое чудо в звание админа и впоследсдвии узнать его пасс а потом попросить убрать из звания? или я чтото не понял... :confused:
А не понял ты то что модер не сможет влепить звание АДМИНУ =)

Это понятно, сейчас прописал сделал такого пользователя и немогу в админку зайти или еще куда-нить, чтоб исправить личное звание или хотя бы удалить это пользователя.....что делать, кто-нибудь знает?
Или это можно как-нибудь исравить этот баг? Весь форум рухнул, не знаю что делать...
Ха ха)Ох не могу хэк:) Залезь в базу данных и исправь статус

модер не сможет влепить звание АДМИНУ =)

а модер модеру может? хотябы модера узнать а уж далее посмотрим :)

>> Ха ха)Ох не могу хэк Залезь в базу данных и исправь статус

если он на сайте модератор, то это не означает, что у него есть доступ к БД..

>> а модер модеру может? хотябы модера узнать а уж далее посмотрим

не тормозите.. если ты на сайте модер, то можешь влепить такое "звание" САМОМУ СЕБЕ..

Это понятно, сейчас прописал сделал такого пользователя и немогу в админку зайти
Если есть доступ в админку значит не просто модер..

не тормозите.. если ты на сайте модер, то можешь влепить такое "звание" САМОМУ СЕБЕ..

я имел в виду прописать в звание не с целью завалить форум а с целью узнать пасс другого!

я имел в виду прописать в звание не с целью завалить форум а с целью узнать пасс другого!
Кто в твою тему просмотрит/отпишется с этим званием того хеш и узнаешь ;)
как я понял.

Нет,с помощью этого вобще нельзя утянуть хеш

Более того выводит на экран хэш пароля и кучу других js переменных.

хммм... а чтож тогда некто comcon1, пишет что можно?