X-JAY Опубликовано 31 Марта 2005 Жалоба Поделиться Опубликовано 31 Марта 2005 Обнаружена новая уязвимость в Invision Power Board 2.0.3 : 31 марта 2005 Межсайтовый скриптинг в Invision Power BoardПрограмма: Invision Power Board 2.0.3 Опасность: Низкая Наличие эксплоита: Да Описание: Уязвимость позволяет удаленному пользователю произвести XSS нападение и получить доступ к важным данным других пользователей. Уязвимость существует из-за некорректной обработки входных данных в некоторых BBCode тегах в подписи. Удаленный пользователь может с помощью специально сформированного тега сохранить злонамеренную подпись, которая будет отображаться в каждом сообщении злоумышленника, и выполнить произвольный HTML сценарий в браузере других пользователей. Пример: [COLOR=[IMG=http://server/=`image.jpg]]`style =background:url("javascript:document.location.replace('http://[attackersite]');")URL производителя: www.invisionboard.com Решение: Способов устранения уязвимости не существует в настоящее время. Админам советую: чтобы как-то защититься от XSS аттак, нужно создать нового юзера с правами Модератора и заходить на форум под этим пользователем (т.е., кто не знает, с помощью XSS можно украсть кукисы (или хеш пароля) любого зарегистрированного юзера, который посмотрит сообщение с XSS кодом!Лучше же если украдут кукисы Модератора, чем Админа ). Ну а если что-то нужно изменить в админке, то заходишь под Админом и делаешь свои дела в Админке . А на форуме сидишь под Модератором. Ссылка на комментарий Поделиться на других сайтах Прочее
Князь Лис Опубликовано 31 Марта 2005 Жалоба Поделиться Опубликовано 31 Марта 2005 X-JAY, юзайте поиск по всему вами вышеуказанному Данная тема уже измусолена до не могу. Ссылка на комментарий Поделиться на других сайтах Прочее
Dekker Опубликовано 31 Марта 2005 Жалоба Поделиться Опубликовано 31 Марта 2005 там чудеса там леший бродит, русалки по ветвям висят ... Поиск Уязвимости форумов Invision Power Board Ссылка на комментарий Поделиться на других сайтах Прочее
Рекомендуемые сообщения