Перейти к содержимому


Фотография

[3.0.x]Redirect Screen by NEO

Форумы IBResource

  • Авторизуйтесь для ответа в теме
В теме одно сообщение
mxneo
  • Участники
  • Cообщений: 22
  • Город:Moscow

Отправлено

http://forums.ibresource.ru/index.php?app=downloads&module=display§ion=screenshot&id=1048

Название: Redirect Screen by NEO
Добавил: mxneo
Добавлен: 24 Сен 2010
Категория: IP.Board 3.0.x-3.1.x

Этот простенький модуль ставит RedirectScreen на все внешние ссылки...
Читать Readme.html, в архиве...

Обсуждение тут: http://forums.ibreso...p?/topic/61506/

Нажмите здесь, чтобы скачать файл

Sannis
  • Команда форума
  • Cообщений: 11 877
  • http://sannis.ru
  • Город:Москва
  • Интересы:Фотография, физика, высокопроизводительные системы, прикладное программирование, спортивный туризм.

Отправлено

Да, мод ужасен.

В случае, если страницы переадресации на форуме не отключены, данная ссылка эксплуатирует активную XSS-уязвимость:

http://example.com/redirect/Ij48c2NyaXB0PmFsZXJ0KC94c3MvKTs8L3NjcmlwdD4K

Можно выполнять любой js-код от имени пользователя, и он заранее ни о чем не догадается, спасибо base64-обфускации.

Но самое забавное - это то, что мод не учитывает возможности, что в настройках может быть отключена страница переадресации. При таком сценарии никакой "страницы редиректа" не будет - будет сразу 302-переадресация на новый url, что полностью уничтожает всю пользу от мода. Причем, так ак нет никакой проверки url, адрес вида:
http://example.com/redirect/dGVzdAo=
приведет к мертвой петле - бесконечному перезапрашиванию все той же страницы, пока не упадет сервер, или не сработает встроенная защита в браузере. Но еще веселее будет, если страницы переадресации не выключены. Тогда все та же ссылка навечно завесит круговой редирект с интервалом в 2 секунды, и так и будет долбать сервер, пока сам пользователь не закроет вкладку, устав "ждать чуда".






Количество пользователей, читающих эту тему: 0

0 пользователей, 0 гостей, 0 анонимных