Информация XSS во всех версиях

[Горбушка]

BKK, т.е. типа те, у кого нет 800 постов - сидите, отдыхайте, пусть Вас ломают... Хорош подход... Надеюсь будет добрый человек, который опубликует на каком-нить dle.in.ua...
Лично у меня желать быть взломанным нет!

 

[NIGHT_WOLF]

XSS то хоть активная? А то всполошили тут народ.

 

[BKK]

XSS то хоть активная? А то всполошили тут народ.

Для просмотра скрытого содержимого вы должны войти или зарегистрироваться.

BKK, т.е. типа те, у кого нет 800 постов - сидите, отдыхайте, пусть Вас ломают... Хорош подход... Надеюсь будет добрый человек, который опубликует на каком-нить dle.in.ua...
Лично у меня желать быть взломанным нет!

Для просмотра скрытого содержимого вы должны войти или зарегистрироваться.

 

[staker]

Для просмотра ссылки Войди или Зарегистрируйся

 

[yavasilek]

Для просмотра ссылки Войди или Зарегистрируйся

та это уже все наверно попалили...

Для просмотра скрытого содержимого вы должны войти или зарегистрироваться.

 

[dm_mb]

что-то сомнения по поводу работоспособности темы. на 8.5 так и не смог воспроизвести.

 

[yavasilek]

что-то сомнения по поводу работоспособности темы. на 8.5 так и не смог воспроизвести.

а тем у кого 8.3 стоит бояться и быстро обновляться?

 

[dm_mb]

8.3 тоже нет.либо у меня руки кривые

 

[Горбушка]

Может кто ещё попробует на 8.5? А то реально не хочется быть поломыным... :tcl:
Либо реально, спалите темку... Всё же о безопасности речь, а не о желании поломать других...

 

[eshkin]

я сделал как посоветовал РоМаН
в файле engine\modules\imagepreview.php

$_GET['image'] = str_replace( "javascript", "nulledws", $_GET['image'] );
$_GET['image'] = str_replace( "onload", "wsnulled", $_GET['image'] );
$_GET['image'] = str_replace( "script", "nulledccwsin", $_GET['image'] );

это дело вырезает пассивную xss при предпросмотре загруженной фотки
по моему ещё надо гостям и посетителям (обычной группы зарегистрированным) доступ для постинга запретить