PDA

Просмотр полной версии : Новая CSS уязвимость в phpBB 2.0.14

x0_Sm1th
14.05.2005, 20:43
>> ИНФО << (http://www.securityfocus.com/bid/13344/info/)

----------------------------------------------------------
The following proof of concept URI is available: http://www.example.com/phpBB2/profile.php?mode=viewprofile&u=\[]\
----------------------------------------------------------
Как будем юзать..?? :confused:
m0nzt3r
14.05.2005, 21:45
это какой версии пхпББ? и судя по урл и титлу есть возможность хсс , т.е не проверяется параметр U . я так понял а откуда взял инфу?
x0_Sm1th
14.05.2005, 22:17
это какой версии пхпББ?
от самых ранних, до 2.0.14 включительно!

инфа от секюритифокуса!
nopmoc
14.05.2005, 22:35
Vopros - v kvadratnii skobki nado vctavliat` php-kod? Otvet`te, plz!
m0nzt3r
14.05.2005, 23:00
и что бага свежая?
nopmoc
сказано же ХСС
x0_Sm1th
14.05.2005, 23:04
и что бага свежая?
бага сегодняшняя. ;)
nopmoc
15.05.2005, 00:00
сказано же ХСС

А что это значит в данном случае!? Я понимаю ошибки в обработки тэгов, а здесь!?
temon
15.05.2005, 10:04
у меня нифга не получаетс, может я не так чё делаю.
Xalegi
15.05.2005, 12:25
бага старая !!!!!!!!
KEZ
15.05.2005, 13:44
Ты бы лутше не спрашивал, а сделал видео...
Ссылка сама по себе нечего не дает.
И Cross Site Scripting лутше писать как XSS а не CSS
OLIVER
15.05.2005, 15:12
Xalegi
ну потрать ты полчасика ну сделай видео, а то нихрена не получается (
temon
15.05.2005, 18:17
кончео лучше всего с видео. да и ещё желательно видео про phpbb 2.0.14.
OLIVER
15.05.2005, 22:21
нее лучше про phpbb 2.0.15
temon
16.05.2005, 10:35
а багов ведь нету в 2,0,15 пока
KEZ
16.05.2005, 11:29
и в 13 и в 14 тоже нет багов
temon
16.05.2005, 12:01
А ЗАЧЕМ ЕЁ ТОГДА ОБНОВЛЯЮТ??
J_Gibson
16.05.2005, 13:35
я за видео
GreenBear
16.05.2005, 13:41
А ЗАЧЕМ ЕЁ ТОГДА ОБНОВЛЯЮТ??
чтоб новее было..
а те кто за видео - мозг хоть иногда включать пробывали? или все тока с картинки делать умеем?
dyx
16.05.2005, 16:53
плиз сделайте видео!!!
buian
16.05.2005, 17:39
чет я нефига не понял! че ета ссылка делает! я ее тестил на форуме одного знакомого который придурок и юзает 2.0.8! при чем все известные дыры в нем канают до сих пор:):)! а вот эта! ну хз! в u же по идее передается номер пользователя в БД!
по идее никакой XSS здесь не должно быть! скрипт просто получает скажем u=5 и находит и выводит пользователя номер в БД которого 5! сама u нигде не выводится ! здесь мош можно попробовать в u передать SQL уязвимоть , но мне щас некогда !
Cash
16.05.2005, 21:15
Да видео было бы кульно.Или распишите чо к чему.
buian
17.05.2005, 18:04
нихера ето ниче не дает! ета бага не действует!
ну и че ! введу я например u=5555555555
и отобразится как бы пустой юзер! его и нет:)! и хоть XSS вводи хоть че!