Dr.Freddy Опубликовано 26 Марта 2005 Жалоба Поделиться Опубликовано 26 Марта 2005 I've found a bug in Invision Board, it let's you send private messagesaround, change people their signature, avatar, etc. If the administrator doesn't filter all the html tags on a forum (or justforgets, which is often the case) you can add an invisible iframe to yourpost. Now if you just figure out how invision board sends for example aprivate message, you can let people send one to someone. Example: <iframe id="frame1" name="frame1" frameborder=0 width=0 height=0src="http://www.website.com/forums/index.php?act=Msg&CODE=04&MODE=1&entered_name=Woody&msg_title=hi&Post=I%20love%20you!"></iframe> Every person who would view the post would send Woody a private message(message: I love you, subject: hi). They wouldn't know it happened becausethe iframe is invisible. You just have to figure out how IB works. This bug CAN NOT changepasswords, email addresses or let an administrator do stuff. It's prettyharmless really. I guess all versions are "affected" because it justdepends on the administrator of the forum Взято с http://www.security.nnov.ru/Idocument143.html. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
0 Mitos Опубликовано 26 Марта 2005 Жалоба Поделиться Опубликовано 26 Марта 2005 If the administrator doesn't filter all the html tags on a forum (or justforgets, which is often the case) you can add an invisible iframe to yourpost. Now if you just figure out how invision board sends for example aprivate message, you can let people send one to someone.вот потому и нельзя давать комупопало постить html в сообщение блокать надо - пускай форумные теги юзают Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
0 Kosiak Опубликовано 28 Марта 2005 Жалоба Поделиться Опубликовано 28 Марта 2005 Насколько я понял это безвредная дырка? Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
0 Mitos Опубликовано 28 Марта 2005 Жалоба Поделиться Опубликовано 28 Марта 2005 если не давать левым людям пользоваться html в сообщениях, то это вообще не дырка будет Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
0 theIggs Опубликовано 29 Марта 2005 Жалоба Поделиться Опубликовано 29 Марта 2005 It's prettyharmless really. I guess all versions are "affected" because it justdepends on the administrator of the forumПеревели с английского, прочитали, посмеялись и забыли. Фредди, паникёрство? Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
0 Dekker Опубликовано 29 Марта 2005 Жалоба Поделиться Опубликовано 29 Марта 2005 ага, и не пишите рутовый пароль на морде форума. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
Вопрос
Dr.Freddy
Взято с http://www.security.nnov.ru/Idocument143.html.
Ссылка на комментарий
Поделиться на других сайтах
5 ответов на этот вопрос
Рекомендуемые сообщения
Присоединиться к обсуждению
Вы можете ответить сейчас, а зарегистрироваться позже. Если у вас уже есть аккаунт, войдите, чтобы ответить от своего имени.