Antichat снова доступен.
Форум Antichat (Античат) возвращается и снова открыт для пользователей.
Здесь обсуждаются безопасность, программирование, технологии и многое другое.
Сообщество снова собирается вместе.
Новый адрес: forum.antichat.xyz
 |
"Уязвимость" на Ru-board.com |
10.07.2006, 22:49
|
|
Познающий
Регистрация: 19.04.2006
Сообщений: 40
Провел на форуме:
2905481
Репутация:
47
|
|
"Уязвимость" на Ru-board.com
Я давно зарегился на форуме Ru-board.com, и недавно, работая с CookieEdition, случайно обратил внимание на куки этого форума, оказалось что данные о пользователе(логин и !!!ПАРОЛЬ!!!) передаются в незашифрованном виде, т.е. прямо из кук можно взять пароль юзера, даже не прибегая к расшифровке!
Решил обратиться к администрации, однако на этом форуме подобную тему уже поднимали, и пока, вроде бы, этот баг никто не собирается исправлять!
Значит осталось подкинуть админу XSS-бомбу и.....
У меня возник попутный вопрос: а во всех ли версиях форума семейства Ikonboard 2.1.x подобные ошибки?
Последнее следовало бы вынести в "Уязвимости форумов"...
|
|
|
10.07.2006, 23:21
|
|
Заведующий всем
Регистрация: 17.04.2005
Сообщений: 1,062
Провел на форуме:
5957900
Репутация:
561
|
|
Зачем это в уязвимости форумов? Уязвимости как таковой тут нет. В раздел "XSS, SQL, Инъекции. Уязвимости, найденные вами" не тянет по той-же причине.
XSS подавай, тогда тянет.. ))
А, так ну много где пароли не хэшируются, глуповато конечно, но если сайт устроен так, что XSS просто исключён (например между юзерами не существует никаких коммуникаций). Вобще нормальный админ должен понимать, что сайт может быть взломан через co-locations (в твоём случае, скорее всего их нет) и тогда вся база юзеров с нехешируемыми паролями уйдёт налево.
Последний раз редактировалось Azazel; 10.07.2006 в 23:23..
|
|
|
|
|
|
|
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
|
|
|
|
Линейный вид
