Отчет об уязвимостях cервера

[Delit]

Получил отчет где конфа стоит в тестовом режиме

 

Штук двадцать таких уязвимостей

 

межсайтовый скриптинг (XSS)

Описание

 

Возможно выполнение атаки межсайтовый скриптинг. Межсайтовый скриптинг (Cross site scripting или XSS) это возможность вставки HTML кода в уязвимую страницу. Инъекция кода осуществляется через все доступные способы ввода информации. Успешное завершение атаки может привести к использованию значений различных переменных, доступных в контексте сайта, записи информации, перехвату пользовательских сессий и т.д.

 

Предлагается

 

Решение

Запретить использование этого скрипта или программно исправить ошибку.

 

Что с этим делать?

[профф]

может у тебя разрешено использование html в сообщениях?

[Delit]

Действительно, может из того что были разрешены

типы прикрепляемых файлов по умолчанию.

 

После повторного тестирования сайта сравню на уязвимость.

[Delit]

Ничего не изменилось

 

SQL-инъекция и межсайтовый скриптинг в Invision Power Board

Уязвимость позволяет удаленному пользователю произвести XSS нападение и выполнить произвольные SQL команды в базе данных приложения.

 

Программа: Invision Power Board 2.0.3 и более ранние версии

 

Опасность: Средняя

 

Наличие эксплоита: Да

 

SQL-инъекция существует из-за недостаточной обработки данных в сценарии 'sources/login.php'. Удаленный пользователь может с помощью специально сформированного URL выполнить произвольные SQL команды в базе данных приложения при выключенных Magic_quotes_gpc в конфигурационном файле php.

 

Отсутствует проверка входных данных при отображении результатов поиска в параметре 'highlite' сценария 'sources/topics.php'. Удаленный пользователь может с помощью специально сформированного URL выполнить произвольный HTML сценарий в браузере жертвы в контексте безопасности уязвимого сайта.

 

URL производителей: http://invisionpower.com

 

Решение: Установите исправление от производителя.

 

Источник: SecurityLab.ru

 

Эта уязвимость существует в последней версии?