|
функционал сайта доделан полностью!
прошу вас проявить больше активности... нашли пару xss-ок и все?.. я просто так что ли для красоты вашу кнопку на морде сайта повесил? неужели мой каталог на open slaed взаправду неуязвимый? :D |
Активная XSS, опять в Мои сайты
Уязвимо поле Текст: Цитата:
В FAQ / Добавить так же xss (правда post запрос, но думаю и в админке, где идет апрув вопросов - будет активка) Уязвимо поле Ваше имя: asdad"asdasd><img src=. onerror=alert()>----- Тоже самое и в Файлы / Добавить |
BlackSun, ПЯТЕРКА! :)
пофиксено |
Цитата:
<<dd>img src=. <dd>onerror<dd>=<dd>alert()<dd>>^ <dd> будет вырезано и получится опять <img src=. onerror=alert()> |
:D :D :D исправил!
хотя по сути этот xss все равно был не опасен, так как дальше админки не пройдет и в самой админке не сработает. при модерации текст отображается без предварительного просмотра сразу в текстовом поле пройдя предварительную обработку htmlspecialchars($text, , ENT_QUOTES) :) |
Функционал сайта расширен, ковыряйте еще, и лучше из-под пользователя!.. Что-то мне как-то все же не верится, что скрипт без дыр и багов :)
|
| Время: 17:34 |