Перейти к контенту
  • 0

Отчет об уязвимостях cервера


Delit

Вопрос

Получил отчет где конфа стоит в тестовом режиме

 

Штук двадцать таких уязвимостей

 

межсайтовый скриптинг (XSS)

Описание

 

Возможно выполнение атаки межсайтовый скриптинг. Межсайтовый скриптинг (Cross site scripting или XSS) это возможность вставки HTML кода в уязвимую страницу. Инъекция кода осуществляется через все доступные способы ввода информации. Успешное завершение атаки может привести к использованию значений различных переменных, доступных в контексте сайта, записи информации, перехвату пользовательских сессий и т.д.

 

Предлагается

 

Решение

Запретить использование этого скрипта или программно исправить ошибку.

 

Что с этим делать?

Ссылка на комментарий
Поделиться на других сайтах

Рекомендуемые сообщения

  • 0

Действительно, может из того что были разрешены

типы прикрепляемых файлов по умолчанию.

 

После повторного тестирования сайта сравню на уязвимость.

Ссылка на комментарий
Поделиться на других сайтах

  • 0

Ничего не изменилось

 

SQL-инъекция и межсайтовый скриптинг в Invision Power Board

Уязвимость позволяет удаленному пользователю произвести XSS нападение и выполнить произвольные SQL команды в базе данных приложения.

 

Программа: Invision Power Board 2.0.3 и более ранние версии

 

Опасность: Средняя

 

Наличие эксплоита: Да

 

SQL-инъекция существует из-за недостаточной обработки данных в сценарии 'sources/login.php'. Удаленный пользователь может с помощью специально сформированного URL выполнить произвольные SQL команды в базе данных приложения при выключенных Magic_quotes_gpc в конфигурационном файле php.

 

Отсутствует проверка входных данных при отображении результатов поиска в параметре 'highlite' сценария 'sources/topics.php'. Удаленный пользователь может с помощью специально сформированного URL выполнить произвольный HTML сценарий в браузере жертвы в контексте безопасности уязвимого сайта.

 

URL производителей: http://invisionpower.com

 

Решение: Установите исправление от производителя.

 

Источник: SecurityLab.ru

 

Эта уязвимость существует в последней версии?

Ссылка на комментарий
Поделиться на других сайтах

Присоединиться к обсуждению

Вы можете ответить сейчас, а зарегистрироваться позже. Если у вас уже есть аккаунт, войдите, чтобы ответить от своего имени.

Гость
Ответить на вопрос...

×   Вы вставили отформатированный текст.   Удалить форматирование

  Допустимо не более 75 смайлов.

×   Ваша ссылка была автоматически заменена на медиа-контент.   Отображать как ссылку

×   Ваши публикации восстановлены.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.

Зарузка...
×
×
  • Создать...

Важная информация

Находясь на нашем сайте, вы соглашаетесь на использование файлов cookie, а также с нашим положением о конфиденциальности Политика конфиденциальности и пользовательским соглашением Условия использования.