Дикс
25.01.2008, 23:27
Собственно озадачился такой идеей - сделать на форуме кастомный BB тег для вставки музыки с разных урлов.
Поставил на локалхосте vbulletin 3.6.8, залил в корневую папку player.swf (16 кб флешка, не суть важно) и через админку вставил такой код:
Тег xxxx
Замена:
<object classid="clsid:d27cdb6e-ae6d-11cf-96b8-444553540000" style="width:300px; height:20px;"
codebase="http://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab#version=8,0,0,0" >
<param name="autostart" value="false" />
<param name="movie" value="player.swf?file={param}" />
<embed src="player.swf?file={param}" style="width:300px; height:20px;" type="application/x-shockwave-flash" pluginspage="http://www.macromedia.com/go/getflashplayer" />
</object>
Но тут {param} не помещается ни в какие кавычки. Стало быть возможна XSS?
Разьясните нубу - нужна ли какая-нибудь фильтрация чего-нибудь и как её встроить в булку?
Ну последнее я могу выяснить и на всупппорте, но по части кавычек, думаю, античат больше подойдёт :)
ЗЫ сам плеер работает отлично.
Поставил на локалхосте vbulletin 3.6.8, залил в корневую папку player.swf (16 кб флешка, не суть важно) и через админку вставил такой код:
Тег xxxx
Замена:
<object classid="clsid:d27cdb6e-ae6d-11cf-96b8-444553540000" style="width:300px; height:20px;"
codebase="http://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab#version=8,0,0,0" >
<param name="autostart" value="false" />
<param name="movie" value="player.swf?file={param}" />
<embed src="player.swf?file={param}" style="width:300px; height:20px;" type="application/x-shockwave-flash" pluginspage="http://www.macromedia.com/go/getflashplayer" />
</object>
Но тут {param} не помещается ни в какие кавычки. Стало быть возможна XSS?
Разьясните нубу - нужна ли какая-нибудь фильтрация чего-нибудь и как её встроить в булку?
Ну последнее я могу выяснить и на всупппорте, но по части кавычек, думаю, античат больше подойдёт :)
ЗЫ сам плеер работает отлично.