Хак Недостаточная фильтрация входящих данных

Shotlandec · 20 Дек 2008

Проблема: Недостаточная фильтрация входящих данных.

Ошибка в версии: все версии

Степень опасности: Низкая

Ручное исправление:

Открыть: /engine/ajax/vote.php, найти:

Код:

require_once ENGINE_DIR.'/modules/functions.php';
require_once ENGINE_DIR.'/classes/templates.class.php';
require_once ENGINE_DIR.'/modules/sitelogin.php';

Ниже добавить:

Код:

check_xss();

Все.

Информация с 4dle (не официальная)...

Demon425 · 20 Дек 2008

А Целка не спешит править ... зачем ...

Tamplier · 1 Янв 2009

Demon425 написал(а):
А Целка не спешит править ... зачем ...

Насколько опасна уязвимость? И что означает этот фикс?Хочу понять суть

PoMaH · 1 Янв 2009

Prosto nedast ispolzovat nekotoryje simvoly v url (zashitit ot xss), zashita poleznaja.
sam fail ispolzujet tolko int dannyje.

Хортица · 1 Янв 2009

Рома теперь есть translit - пожалуйста, пользуйся им.

Demon425 · 1 Янв 2009

Tamplier

XSS (англ. Сross Site Sсriрting — «межсайтовый скриптинг») — тип уязвимости компьютерной системы, используется при хакерской атаке. Специфика подобных атак заключается в том, что вместо непосредственной атаки сервера, они используют уязвимый сервер в качестве средства атаки на клиента. XSS-атака обычно проводится путём конструирования специального URL, который атакующий предъявляет своей жертве.

Степень опасности низкая.

Всё же интерресно, включит ли Целсофт даный фикс в 7.5 или ему гордость не позволит ?

egor1908 · 2 Янв 2009

Степень опасности: Низкая

Разве вообще кому либо удавалось использовать это? Впервые слышу что бы DLE мог ломатся вообще.

Я так и не понял смысл защиты. Некоторые символы в УРЛ говорите? Так ДЛЕ ругается на всё что попало своими "Hacking Attempt!".

Хотелось бы пример использования уязвимости.

E-body · 2 Янв 2009

Demon425 написал(а):
Tamplier
XSS (англ. Сross Site Sсriрting — «межсайтовый скриптинг») — тип уязвимости компьютерной системы, используется при хакерской атаке. Специфика подобных атак заключается в том, что вместо непосредственной атаки сервера, они используют уязвимый сервер в качестве средства атаки на клиента. XSS-атака обычно проводится путём конструирования специального URL, который атакующий предъявляет своей жертве.

Выкладываю сканер xss (из соседнего топика)

Для просмотра скрытого содержимого вы должны войти или зарегистрироваться.

Хак Недостаточная фильтрация входящих данных

Shotlandec

Постоялец

Demon425

Постоялец

Tamplier

Полезный

PoMaH

Постоялец

Хортица

Прохожие

Demon425

Постоялец

egor1908

Создатель

E-body

Мой дом здесь!