Перейти к контенту
  • 0

Запретить использлвать тег [img]


Spear

Вопрос

Народ, я тут недавно такое услышал:

 

Уязвимости подвержены все форумы и системы использующие тег [/img] для отражения графики. В настоящий момент распространение получила следующая уязвимость. Злоумышленник создает вредоносный файл переименовывает его как картинку и добавляет его к вам на форум через BBCode. В результате картинка в его сообщении не откроется, но удаленный код выполнится! Таким образом, злоумышленник может выполнить либо XSS либо чего по страшнее, в плоть, до получения информации из конфиг файла!

 

по этому возник такой вопрос - как можно надвижке версии 1.3 риключить тег ИМЖ, или сделать так, чтобы он не созздавал хтмл код вида

<img ...> а делал просто ссылку на файл, указанный в теге имж.

 

Буду очень благодарен

Ссылка на комментарий
Поделиться на других сайтах

Рекомендуемые сообщения

  • 0

зачем же так радикально... под 2.x есть фиксилка - Исправление уязвимостей форумов - должна быть и под 1.x

 

а вообще убрать что-либо из тегов проще, чем создать :D

 

сначала убираете из post_parser все упоминания об обработке этого тега.

потом убираете сам вывод тега в форме ответа/создания темы/создания PM.

ну и на закуску - убираете описание тега из файлов .js

 

вроде усё.. ломать - не строить ;)

Ссылка на комментарий
Поделиться на других сайтах

Присоединиться к обсуждению

Вы можете ответить сейчас, а зарегистрироваться позже. Если у вас уже есть аккаунт, войдите, чтобы ответить от своего имени.

Гость
Ответить на вопрос...

×   Вы вставили отформатированный текст.   Удалить форматирование

  Допустимо не более 75 смайлов.

×   Ваша ссылка была автоматически заменена на медиа-контент.   Отображать как ссылку

×   Ваши публикации восстановлены.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.

Зарузка...
×
×
  • Создать...

Важная информация

Находясь на нашем сайте, вы соглашаетесь на использование файлов cookie, а также с нашим положением о конфиденциальности Политика конфиденциальности и пользовательским соглашением Условия использования.