Forum. MyNuke.ru
Forum. MyNuke.ruСообщения за сегодняПерсональные сообщения

Навигация  
Вернуться   Forum. MyNuke.ru > PHP-NUKE > Безопасность > Уязвимости Защиты
Ник
Пароль
Ответ
 
Опции темы Поиск в этой теме Опции просмотра
Soniks вне форума      Старый XSS tags в phpbb 2.0.16 #1  
Soniks
Администратор
Регистрация: 16.01.2005
Сообщения: 4,814


Пожаловаться на это сообщениеОтветить с цитированием

Посмотреть профиль Отправить персональное сообщение для Soniks Посетить домашнюю страницу Soniks Найти все сообщения от Soniks Добавить Soniks в список друзей  
06.07.2005, 20:54

Продукт: phpbb

Версия: 2.0.16 и ниже

Затронуты файлы: bbcode.php

Описание:
Уязвимость в phpbb форуме позволяет удаленному пользователю выполнить XSS нападение. Удаленный пользователь может вставить специально обработанную комбинацию BB тегов в сообщение форума, чтобы выполнить произвольный код в браузере пользователя, посетившего злонамеренное сообщение. Уязвимость может использоваться для похищения конфиденциальной информации пользователя (идентификатор сессии или куки).

Источник: http://antichat.ru/txt/phpbb/

Устранение:
Откройте файл includes/bbcode.php
Найдите (202):
PHP код:
 $patterns[] = "#\[url\]([\w]+?://[^ \"\n\r\t<]*?)\[/url\]#is"

Замените на:
PHP код:
 $patterns[] = "#\[url\]([\w]+?://[^ \"\n\r\t\'\`\[\]<]*?)\[/url\]#is"

Найдите (206):
PHP код:
 $patterns[] = "#\[url\]((www|ftp)\.[^ \"\n\r\t<]*?)\[/url\]#is"

Замените на:
PHP код:
 $patterns[] = "#\[url\]((www|ftp)\.[^ \"\n\r\t\'\`\[\]<]*?)\[/url\]#is"

Найдите (210):
PHP код:
 $patterns[] = "#\[url=([\w]+?://[^ \"\n\r\t<]*?)\]([^?\n\r\t].*?)\[/url\]#is"

Замените на:
PHP код:
 $patterns[] = "#\[url=([\w]+?://[^ \"\n\r\t\'\`\[\]<]*?)\]([^?\n\r\t].*?)\[/url\]#is"

Найдите (214):
PHP код:
 $patterns[] = "#\[url=((www|ftp)\.[^ `\"\n\r\t<]*?)\]([^?\n\r\t].*?)\[/url\]#is"

Замените на:
PHP код:
 $patterns[] = "#\[url=((www|ftp)\.[^ \"\n\r\t\'\`\[\]<]*?)\]([^?\n\r\t].*?)\[/url\]#is"

Последний раз редактировалось Soniks, 14.07.2005 в 02:19.
 
"Если бы вам удалось надавать под зад человеку, виноватому в большинстве ваших неприятностей - вы бы неделю не смогли сидеть".


Soniks вне форума      Старый #2  
Soniks
Администратор
Регистрация: 16.01.2005
Сообщения: 4,814


Пожаловаться на это сообщениеОтветить с цитированием

Посмотреть профиль Отправить персональное сообщение для Soniks Посетить домашнюю страницу Soniks Найти все сообщения от Soniks Добавить Soniks в список друзей  
14.07.2005, 02:21

забыл пофиксить 4-ю строку переправте, кто фиксил эту уязвимость и кто не фиксил
 
"Если бы вам удалось надавать под зад человеку, виноватому в большинстве ваших неприятностей - вы бы неделю не смогли сидеть".


Soniks вне форума      Старый #3  
Soniks
Администратор
Регистрация: 16.01.2005
Сообщения: 4,814


Пожаловаться на это сообщениеОтветить с цитированием

Посмотреть профиль Отправить персональное сообщение для Soniks Посетить домашнюю страницу Soniks Найти все сообщения от Soniks Добавить Soniks в список друзей  
18.07.2005, 03:19

методика хорошая и позволит избежать других подобных эксплойтов!
 
"Если бы вам удалось надавать под зад человеку, виноватому в большинстве ваших неприятностей - вы бы неделю не смогли сидеть".


sid вне форума      Старый #4  
sid
Участник+
Регистрация: 14.07.2005
Сообщения: 123


Пожаловаться на это сообщениеОтветить с цитированием

Посмотреть профиль Отправить персональное сообщение для sid Посетить домашнюю страницу sid Найти все сообщения от sid Добавить sid в список друзей  
18.07.2005, 03:30

хера вы ребята шпарите! и как вам это тока удаётся?????
 
by SiD :)


Cyrpheus вне форума      Старый #5  
Аватара для Cyrpheus
Cyrpheus
Участник
Регистрация: 17.07.2005
Сообщения: 54


Пожаловаться на это сообщениеОтветить с цитированием

Посмотреть профиль Отправить персональное сообщение для Cyrpheus Найти все сообщения от Cyrpheus Добавить Cyrpheus в список друзей  
18.07.2005, 04:47

sid А чего тут сложного? Главное не шляться где попало, а сразу знать, что то что ты сейчас вобъёшь в голову, пригодится в будущем. Так что качай книги в PDF фомате или ещё что-то и сиди, читай и практикуйся. Время решает всё и главнее всего опыт.
Sory за offtop....
 
<!-- Богам свойственно ошибаться, а их ошибки свойственно исправлять человечеству /-->


sid вне форума      Старый #6  
sid
Участник+
Регистрация: 14.07.2005
Сообщения: 123


Пожаловаться на это сообщениеОтветить с цитированием

Посмотреть профиль Отправить персональное сообщение для sid Посетить домашнюю страницу sid Найти все сообщения от sid Добавить sid в список друзей  
18.07.2005, 12:31

сразу появляется вопрос!!!! почему в Pdf? мож где в Doc или Txt есть??????????
 
by SiD :)


Master вне форума      Старый #7  
Аватара для Master
Master
Участник
Регистрация: 06.04.2005
Сообщения: 98


Пожаловаться на это сообщениеОтветить с цитированием

Посмотреть профиль Отправить персональное сообщение для Master Найти все сообщения от Master Добавить Master в список друзей  
18.07.2005, 12:44

Cyrpheus sid
Народ прекращайте Оффтоп

Ответ


Опции темы Поиск в этой теме
Поиск в этой теме:

Расширенный поиск
Опции просмотра
Комбинированный вид Комбинированный вид

Ваши права в разделе
Вы не можете создавать темы
Вы не можете отвечать на сообщения
Вы не можете прикреплять файлы
Вы не можете редактировать сообщения

BB-коды Вкл.
Смайлы Вкл.
[IMG] код Выкл.
HTML код Выкл.
Быстрый переход



Часовой пояс GMT +4, время: 18:30.


На Верх
Рейтинг@Mail.ru