Перейти к контенту

Рекомендуемые сообщения

Этот простенький модуль ставит RedirectScreen на все внешние ссылки... Написал за 15 минут...

 

post-84588-019403200 1285338352_thumb.png

Redirect NEO.zip

 

Скачать: http://forums.ibresource.ru/index.php?app=downloads&showfile=1048

Изменено пользователем mxneo
Ссылка на комментарий
Поделиться на других сайтах

Ссылка на комментарий
Поделиться на других сайтах

Я даже не знаю после поста Ритцы, аппрувить ли его в архиве.

P.S. http://forums.ibresource.ru/index.php?app=downloads&showfile=1048

Ссылка на комментарий
Поделиться на других сайтах

mxneo, а как как скачать этот мод? Я перехожу по ссылке в первом посте, а там пишет:

 

Невозможно найти указанный файл
Ссылка на комментарий
Поделиться на других сайтах

потому что он не аппрувлен

не помню, а в моде, в котором xss был, было также:

в самом конце, return функции _buildOutput
добавить код?

 

вообще не советую его пока что качать

 

вобщем у того xss мода url вообще никак не фильтровался

здесь он передается в функцию RedirectScreen, а там, как я понял, от xss защиты нет

Ссылка на комментарий
Поделиться на других сайтах

Да, мод ужасен.

 

В случае, если страницы переадресации на форуме не отключены, данная ссылка эксплуатирует активную XSS-уязвимость:

http://example.com/redirect/Ij48c2NyaXB0PmFsZXJ0KC94c3MvKTs8L3NjcmlwdD4K

 

Можно выполнять любой js-код от имени пользователя, и он заранее ни о чем не догадается, спасибо base64-обфускации.

 

Но самое забавное - это то, что мод не учитывает возможности, что в настройках может быть отключена страница переадресации. При таком сценарии никакой "страницы редиректа" не будет - будет сразу 302-переадресация на новый url, что полностью уничтожает всю пользу от мода. Причем, так ак нет никакой проверки url, адрес вида:

http://example.com/redirect/dGVzdAo=

приведет к мертвой петле - бесконечному перезапрашиванию все той же страницы, пока не упадет сервер, или не сработает встроенная защита в браузере. Но еще веселее будет, если страницы переадресации не выключены. Тогда все та же ссылка навечно завесит круговой редирект с интервалом в 2 секунды, и так и будет долбать сервер, пока сам пользователь не закроет вкладку, устав "ждать чуда".

 

mxneo, хорошо, что у вас есть время и желание заниматься написанием модов. Плохо, что уровень исполнения хромает. Надо подтянуть :)

Ссылка на комментарий
Поделиться на других сайтах

  • 3 недели спустя...
Я его написал за 10-15 минут, особо не вдавался в мелочи, хотел еще сделать статистику переходов в админке, но учеба, учеба, институт, времени оказалось не так много чтобы продолжать...
Ссылка на комментарий
Поделиться на других сайтах

Я его написал за 10-15 минут, особо не вдавался в мелочи

Вот именно из-за такого отношения к результату у нас разваливается наука и ломаются сайты налоговой.

Если не можете обеспечить работоспособность и исправления багов, может оно того и не стоило? ;-)

Ссылка на комментарий
Поделиться на других сайтах

  • 2 месяца спустя...

Что то не работает то ваш хук.

Когда нажимаю на ссылку, идет редирикт и пишит:

[#404] К сожалению, не удалось найти запрашиваемую вами страницу. Пожалуйста вернитесь на главную страницу форума.
Ссылка на комментарий
Поделиться на других сайтах

  • 3 месяца спустя...

Присоединиться к обсуждению

Вы можете ответить сейчас, а зарегистрироваться позже. Если у вас уже есть аккаунт, войдите, чтобы ответить от своего имени.

Гость
Ответить в этой теме...

×   Вы вставили отформатированный текст.   Удалить форматирование

  Допустимо не более 75 смайлов.

×   Ваша ссылка была автоматически заменена на медиа-контент.   Отображать как ссылку

×   Ваши публикации восстановлены.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.

Зарузка...
×
×
  • Создать...

Важная информация

Находясь на нашем сайте, вы соглашаетесь на использование файлов cookie, а также с нашим положением о конфиденциальности Политика конфиденциальности и пользовательским соглашением Условия использования.