Басни о куках

[Song]

Мод сделан но потребует отключения в форуме unicode.

 

И вообще я ж говорю, что тестите. Может не всё отследил?

[Arhar]

да я уже не знаю, чё там есть ещё

[Siberex]

Сорри за глупый вопрос не по теме.

А где сам мод-то достать? Тыкните ссылкой :-)

[Arhar]

Басни о куках

[RaVaN]

Тоже жду мод с нетерпением. Тырят кукисы и творят беспредел

[FatCat]

Тоже жду мод с нетерпением. Тырят кукисы и творят беспредел

В парсере добавь строку замены script на sсriрt (подчеркнутые буквы - русские), вот и весь мод.

[Song]

тю-тю

я между s и c добавлю 0x09 вот и нет никакого исправления

[xRay]

Song

В смысле? (чего-то не догнал я... странно...)

[Song]

ну напишешь ты типа

 

$txt = str_replace("script", "sc ript", $txt);

чтобы убрать зависимость от слова script.

А я в пост напишу вот так:

javas cript: alert

где пропуск - это любой спец-символ, который браузер не считает за отделение между словами (ну т.е. не пробел). И всё, при XSS этот javascript сработает за милую душу, не смотря на произведённый str_replace().

[xRay]

ясно

спасибо что разьяснил, а то я вчера не догнал пиво навереное дейтсвует

[FatCat]

А я в пост напишу вот так:

javas cript: alert

Чтобы не морочиться с постами в форуме, создай эйчтимиэльку, и вставь код:

<a href="#1" onclick="s cript:alert('')">Тест скрипта</a>

И попробуй пощелкать мышкой, а еще лучше открыть страницу с эроррепортингом (в том же ХоумСайте).

Убери пробел - алерт работает; с пробелом не работает.

[Song]

>> Убери пробел - алерт работает; с пробелом не работает.

я ж сказал: "Не пробел!".

[FatCat]

>> Убери пробел - алерт работает; с пробелом не работает.

я ж сказал: "Не пробел!".

я между s и c добавлю 0x09 вот и нет никакого исправления

Это код пробела.

А можно продемонстрировать рабочий алерт например здесь: http://www.pharm-forum.ru/index.php?showforum=59 ? Парсер фильтрует слово script.

[Garret]

Может там еще и зарегистрироватся и пару сообщений оставить? Тестового аккаунта я не заметил.

[FatCat]

Может там еще и зарегистрироватся и пару сообщений оставить? Тестового аккаунта я не заметил.

Разрешения создавать новые темы и отвечать без авторизации тоже не заметил?

[Garret]

А я в указаном форуме заметил При попытке ответа в тему, права на создание тем не проверял.

[Song]

Это код пробела.

Вообще-то код пробела 32 дес и 20 hex

А 0x09 - это табуляция.

 

 

на самом деле там таких символов очень много и причём для каждого браузера есть свои личные. Поэтому простым str_replace'ом нифига не выйдет. Ну даже если ты будешь эти символы копить со временем и фильтровать. Победить можно их сочетанием, методами js языка и т.д.

 

FatCat, вот я запостил: http://www.pharm-forum.ru/index.php?showto...ost&p=19234

чего-то я не понял, что там отфильтровалось

[FatCat]

FatCat, вот я запостил: http://www.pharm-forum.ru/index.php?showto...ost&p=19234

чего-то я не понял, что там отфильтровалось

Не нашел стыдливо краснеющего смайлика...

Строка замены была закомментирована...

Сейчас сделал бросающуюся в глаза замену:

	 // Start off with the easy stuff

 $txt = preg_replace( "#script#is", "sсчiрt", $txt );

Проверил в Опере и и-эксплорере - или рвет слово, или "ч" выскакивает.

[Song]

Ну а чего выключит права на ответ? Что ж мне теперь создавать темы постоянно. test/test у тебя тоже нет

[Song]

Рассмотрю возможность бесплатной установки моего мода на вашем форуме, который часто и постоянно пытаются сломать. Для более практичного теста.

Детали сюда или в личку.

 

Требование мода: насильное отключение юникода.

[FatCat]

Ну а чего выключит права на ответ?

У меня по всему форуму гостевой доступ открыт и на ответ, и на создание. И форма быстрого ответа подключена.