mxneo Опубликовано 30 Сентября 2010 Жалоба Поделиться Опубликовано 30 Сентября 2010 Название: Redirect Screen by NEOДобавил: mxneoДобавлен: 24 Сен 2010Категория: IP.Board 3.0.x-3.1.x Этот простенький модуль ставит RedirectScreen на все внешние ссылки...Читать Readme.html, в архиве... Обсуждение тут: http://forums.ibresource.ru/index.php?/topic/61506/ Нажмите здесь, чтобы скачать файл Ссылка на комментарий Поделиться на других сайтах Прочее
Sannis Опубликовано 30 Сентября 2010 Жалоба Поделиться Опубликовано 30 Сентября 2010 Да, мод ужасен. В случае, если страницы переадресации на форуме не отключены, данная ссылка эксплуатирует активную XSS-уязвимость:http://example.com/redirect/Ij48c2NyaXB0PmFsZXJ0KC94c3MvKTs8L3NjcmlwdD4K Можно выполнять любой js-код от имени пользователя, и он заранее ни о чем не догадается, спасибо base64-обфускации. Но самое забавное - это то, что мод не учитывает возможности, что в настройках может быть отключена страница переадресации. При таком сценарии никакой "страницы редиректа" не будет - будет сразу 302-переадресация на новый url, что полностью уничтожает всю пользу от мода. Причем, так ак нет никакой проверки url, адрес вида:http://example.com/redirect/dGVzdAo=приведет к мертвой петле - бесконечному перезапрашиванию все той же страницы, пока не упадет сервер, или не сработает встроенная защита в браузере. Но еще веселее будет, если страницы переадресации не выключены. Тогда все та же ссылка навечно завесит круговой редирект с интервалом в 2 секунды, и так и будет долбать сервер, пока сам пользователь не закроет вкладку, устав "ждать чуда". Ссылка на комментарий Поделиться на других сайтах Прочее
Рекомендуемые сообщения