HOME FORUMS MEMBERS RECENT POSTS LOG IN  
× Авторизация
Имя пользователя:
Пароль:
Нет аккаунта? Регистрация
Баннер 1   Баннер 2
НОВЫЕ ТОРГОВАЯ НОВОСТИ ЧАТ
loading...
Скрыть
Вернуться   ANTICHAT > БЕЗОПАСНОСТЬ И УЯЗВИМОСТИ > Уязвимости
Перезагрузить страницу Возможно ли расширение уязвимости?
   
Ответ
 
Опции темы Поиск в этой теме Опции просмотра

Возможно ли расширение уязвимости?
  #1  
Старый 30.11.2006, 20:54
DAM700
Новичок
Регистрация: 30.11.2006
Сообщений: 1
С нами: 10234549

Репутация: 0
Exclamation Возможно ли расширение уязвимости?
Фера Искоро!

Сразу скажу я не хакер и т.д. Я веб-разработчик. Появилась необходимость использовать сторонний скрипт, но, как я смог его оценить на первый взгляд, он имеет XSS уязвимости.

А именно:
В поле при редактировании email можно выполнить код:
PHP код:
' style="background:url(javascript:alert(String.fromCharCode(111,107)))"> 
Он же загружается и в поле области администратирования, то есть имеет ссылка типа <a href='mailto: ЗДЕСЬ_КОД'>E-mail</a>, то есть код выполняется и у администратора при просмотре адресов зарегистрированных пользователей.

Дальше этого я уйти не смог, например, как возможно осуществить вставку ссылки на сниффер. Я пробывал, но ничего не получилось. Фильтруются только одинарные кавычки, они заменяются на '' - то есть была одна станет две. Так же удяляется все, что будет написано после теге < включительно.

Меня интересует вопрос: более это не имеет последствий или все же можно вставить ссылку на сниффер? Устнранить уязвимость достаточно легко.
𝕏 Twitter Reddit Telegram Копировать ссылку
 
Ответить с цитированием

  #2  
Старый 30.11.2006, 21:04
Rebz
Флудер
Регистрация: 08.11.2004
Сообщений: 3,395
С нами: 11317286

Репутация: 3876


По умолчанию
Последствия могут быть разными. Сниффер тащит кукисы. Тем самым, злоумышленник может сначала стащить, а потом подменить кукисы на админские и тем самым стать администратором. Устранять в любом случае надо =) Чтобы неповадно было). Ах да.. если это активная XSS, то можно вытворять всякие шалости.. например сделать на джаве редирект на свой сайт при заходе на страничку с xss..
 
Ответить с цитированием

  #3  
Старый 30.11.2006, 21:05
_Great_
Флудер
Регистрация: 27.12.2005
Сообщений: 2,372
С нами: 10721066

Репутация: 4360


По умолчанию
Цитата:
Устнранить уязвимость достаточно легко.
так устрани и не парься =)

Цитата:
Меня интересует вопрос: более это не имеет последствий или все же можно вставить ссылку на сниффер?
надо конкретно смотреть, сказать что-либо по словам сложно.
ну по идее, теоритически, можно сделать переброс на снифер cookies
 
Ответить с цитированием
Ответ



« Предыдущая тема | Следующая тема »
Похожие темы
Тема Автор Раздел Ответов Последнее сообщение
Ошибки Windows 2 SVipeR Windows 9 02.03.2009 19:28
Ошибки Windows dinar_007 Windows 19 01.07.2007 13:32
Действующие уязвимости почтовых систем РФ Maxmen Уязвимости Mail-сервис 16 12.12.2004 16:48
Вопрос про уязвимости в FastBB deo Уязвимости CMS / форумов 9 29.11.2004 09:47



Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
 


Быстрый переход




ANTICHAT ™ © 2001- Antichat Kft.