Форум АНТИЧАТ

Форум АНТИЧАТ (https://forum.antichat.xyz/index.php)
-   Форумы (https://forum.antichat.xyz/forumdisplay.php?f=16)
-   -   Баг в vBulletin 3.x (https://forum.antichat.xyz/showthread.php?t=10600)

Nova 07.11.2005 19:53
Баг в vBulletin 3.x
 
для тех кто не успел воспользоваться статьёй с секлаба

вот сама статья :
Код:
Поле профиля Статус воспринимает опасные html-тэги (по умолчанию эта
опция включена) и может использоваться для выполнения атак типа XSS а
также некоторых других корыстных целях теми, кто может менять свой
статус (по умолчанию администрация, начиная от группы Модераторы)

Поле профиля Статус по умолчанию воспринимает только 25 символов, но
это легко обходится.

Пример: <body onLoad=alert('ok')>
вот ссылка на секлаб http://www.securitylab.ru/vulnerability/241800.php

*Van* 07.11.2005 20:00
Ну эту багу могут только модеры или админы юзать, поэтому если ты обычный юзер, то у тя ничего не выйдет.

Nova 07.11.2005 20:15
ага это обидно

queen 08.11.2005 00:54
imho nichego takogo, ona biula mne izvestna esche davno. Obiuchnaya vicha a ne baga.

*Van* 08.11.2005 01:00
Кстати похожая бага была и в форумах типа "phorum", но там мог её юзать и обычный пользователь.

queen 08.11.2005 01:13
Eto ne baga a vicha, kotoraya dozvolena toliko Adminam i esli Adminiu razreschat, to i Moderatoram i iuzeram. Po ymolchaniiu ona vkliuchina eto tochno. No v Marte etogo goda, Ya proveryal na foryme antichata v accounte SiloS`a, i eta baga ne deiustvovala tak chto Adminiu ee otkliuchili esche togda.

Koroche vicha eto prosto a ne baga.

0verfe1 08.11.2005 13:09
есть форум,тама можна менять статус,я менял,теги просто отображаются,а не выполняются =)


Время: 10:50