ANTICHAT.XYZ    VIDEO.ANTICHAT.XYZ    НОВЫЕ СООБЩЕНИЯ    ФОРУМ  
Баннер 1   Баннер 2
Antichat снова доступен.
Форум Antichat (Античат) возвращается и снова открыт для пользователей. Здесь обсуждаются безопасность, программирование, технологии и многое другое. Сообщество снова собирается вместе.
Новый адрес: forum.antichat.xyz
Вернуться   Форум АНТИЧАТ > Безопасность и Уязвимости > Уязвимости > Форумы
Перезагрузить страницу Новая уязвимость Phpbb 2.0.19 XSS в profile.php
   
Ответ
 
Опции темы Поиск в этой теме Опции просмотра

Новая уязвимость Phpbb 2.0.19 XSS в profile.php
  #1  
Старый 05.04.2006, 14:29
Аватар для pktrader
pktrader
Новичок
Регистрация: 05.04.2006
Сообщений: 4
Провел на форуме:
7612

Репутация: 1
По умолчанию Новая уязвимость Phpbb 2.0.19 XSS в profile.php
Привет всем!

Оригинальная информация:
http_://secunia.com/advisories/19494/

Помогите пожалуйста разобраться каким образом эта штука работает.
 
Ответить с цитированием

  #2  
Старый 05.04.2006, 17:43
Аватар для Otaku
Otaku
Познавший АНТИЧАТ
Регистрация: 24.07.2005
Сообщений: 1,057
Провел на форуме:
1864132

Репутация: 116


По умолчанию
Вроде пользы не много.
Видимио отсутствует проверка на запрещённые символы там,где в профайле пароль меняется.
 
Ответить с цитированием

  #3  
Старый 05.04.2006, 21:37
Аватар для pktrader
pktrader
Новичок
Регистрация: 05.04.2006
Сообщений: 4
Провел на форуме:
7612

Репутация: 1
По умолчанию
Цитата:
Сообщение от Otaku  
Вроде пользы не много.
Какой код возможно выполнить с этим эксплойтом? я не мастер в PHP и все мои происки в исходниках ничего не дали. Код как код.
 
Ответить с цитированием

  #4  
Старый 05.04.2006, 21:41
Аватар для мишка44
мишка44
Новичок
Регистрация: 24.12.2005
Сообщений: 13
Провел на форуме:
27380

Репутация: 0
По умолчанию
код любой выполнить можно
 
Ответить с цитированием

  #5  
Старый 05.04.2006, 23:04
Аватар для pktrader
pktrader
Новичок
Регистрация: 05.04.2006
Сообщений: 4
Провел на форуме:
7612

Репутация: 1
По умолчанию
Цитата:
Сообщение от мишка44  
код любой выполнить можно
Уважаемый мишка44 запостите пример использования эксплоита?
 
Ответить с цитированием

  #6  
Старый 05.04.2006, 23:13
Аватар для Grema
Grema
Участник форума
Регистрация: 29.11.2005
Сообщений: 122
Провел на форуме:
1050637

Репутация: 27
По умолчанию
Программа: phpBB 2.0.19, возможно более ранние версии.

Опасность: Низкая

Наличие эксплоита: Нет

Описание:
Уязвимость позволяет удаленному пользователю произвести XSS нападение.

Уязвимость существует из-за недостаточной обработки входных данных в параметре "cur_password" в сценарии profile.php во время редактирования профиля. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольный код сценария в браузере жертвы в контексте безопасности уязвимого сайта.


P.S. вроде ниче интерестного.... хотя...
 
Ответить с цитированием

  #7  
Старый 05.04.2006, 23:36
Аватар для pktrader
pktrader
Новичок
Регистрация: 05.04.2006
Сообщений: 4
Провел на форуме:
7612

Репутация: 1
По умолчанию
Какая польза или вред при использовании данной уязвимости?
И какой код (желательно спримером)возможно выполнить?
 
Ответить с цитированием

  #8  
Старый 06.04.2006, 01:59
Аватар для *[poison]*
*[poison]*
Участник форума
Регистрация: 03.04.2006
Сообщений: 115
Провел на форуме:
502282

Репутация: 58
Отправить сообщение для *[poison]* с помощью ICQ
По умолчанию
Цитата:
Сообщение от Grema  
Наличие эксплоита: Нет
Ну че ты паришся, нету сплойтика.
Цитата:
Сообщение от Grema  
Описание:
Уязвимость позволяет удаленному пользователю произвести XSS нападение.

Уязвимость существует из-за недостаточной обработки входных данных в параметре "cur_password" в сценарии profile.php во время редактирования профиля. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольный код сценария в браузере жертвы в контексте безопасности уязвимого сайта.
Думай как XSS сделать исходя из этого описания.
 
Ответить с цитированием

  #9  
Старый 06.04.2006, 15:10
Аватар для Grema
Grema
Участник форума
Регистрация: 29.11.2005
Сообщений: 122
Провел на форуме:
1050637

Репутация: 27
По умолчанию
Я не парюсь... я просто написал то что было на
http?//www.Securitylab.ru
просто капирайт забыл добавить

З.Ы. млин кто мне уже минус поставил?
 
Ответить с цитированием

  #10  
Старый 07.04.2006, 01:53
Аватар для Dagon
Dagon
Познающий
Регистрация: 27.03.2006
Сообщений: 86
Провел на форуме:
972602

Репутация: 52
По умолчанию
Цитата:
Сообщение от pktrader  
Какая польза или вред при использовании данной уязвимости?
И какой код (желательно спримером)возможно выполнить?
вот пример : ввести в "Текущий пароль"

"><script>alert(1)</script>
 
Ответить с цитированием
Ответ



« Предыдущая тема | Следующая тема »
Похожие темы
Тема Автор Раздел Ответов Последнее сообщение
exploit phpBB 2.0.19 ( by SpiderZ ) liauliau Форумы 21 13.01.2007 23:01
Новая XSS на форуме phpBB 2.0.19 NeMiNeM Форумы 6 26.10.2006 21:30
Уязвимость в phpbb 2.0.19 возможно даже более ранние версии k1b0rg Форумы 11 24.03.2006 19:57



Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
 


Быстрый переход




ANTICHAT.XYZ