|
админский баг на FastBB
В личном звании можно вставлять HTML-тэги: вешает весь форум нах. пишу к примеру:
<script> alert('PREVED'); </script> - весь форум вылетает при просмотре любого моего поста. Более того выводит на экран хэш пароля и кучу других js переменных. Но это звание есть тока у модеров :( - но уже есть уязвимость. А то писали, что совсем нет... Можно модером ломать весь форум... |
Ну да...можно быть может...но вот как заполучить хэш хотя бы того же модератора?...
Нужно знать как добыть сам хэш, а там уже можно будет сообразить что с форумом сделать... |
[/QUOTE]В личном звании можно вставлять HTML-тэги: вешает весь форум нах. пишу к примеру:
<script> alert('PREVED'); </script> - весь форум вылетает при просмотре любого моего поста. Более того выводит на экран хэш пароля и кучу других js переменных.[QUOTE] ... как это исправить, те я создал такого пользователя и теперь не могу зайти в настройки, подскажите что делать? |
Такие баги сплошь и рядом в админках. Только толку от них? Обычно все ищут xss дабы получить админ доступ и т.п. А зачем это нужно, если ты уже админ :)
|
Это понятно, сейчас прописал сделал такого пользователя и немогу в админку зайти или еще куда-нить, чтоб исправить личное звание или хотя бы удалить это пользователя.....что делать, кто-нибудь знает?
Или это можно как-нибудь исравить этот баг? Весь форум рухнул, не знаю что делать... |
всё равно спс я модер на нескольких лажовых форумах попобую )))
|
в админках дохера дыр, согласен с fucker"ok, но толку то от них?
|
ужоснах
|
такая же бага присутствует во всех последних булках.. и как правильно сказал fucker"ok, она есть сплошь и рядом.. на днях тока кое-кто выложил инфу про подобные баги в vBulletin на багтрак, над этим адвисори разработчики тока посмеялись (а зря)..
2lexer666 - когда я сотворил подобное в vBulletin, то пришлось править запись в БД форума.. |
Извияюсь, что не в тему. Я однажды вставил на форуме
Код:
alert(' TRIAL PERIOD EXPIRED!\nPlease, buy valid license key. '); |
| Время: 04:08 |