Перейти к контенту

[3.0.x]Redirect Screen by NEO


mxneo

Рекомендуемые сообщения

index.php?app=downloads&module=display&section=screenshot&id=1048

Название: Redirect Screen by NEO

Добавил: mxneo

Добавлен: 24 Сен 2010

Категория: IP.Board 3.0.x-3.1.x

 

Этот простенький модуль ставит RedirectScreen на все внешние ссылки...

Читать Readme.html, в архиве...

 

Обсуждение тут: http://forums.ibresource.ru/index.php?/topic/61506/

 

Нажмите здесь, чтобы скачать файл

Ссылка на комментарий
Поделиться на других сайтах

Да, мод ужасен.

 

В случае, если страницы переадресации на форуме не отключены, данная ссылка эксплуатирует активную XSS-уязвимость:

http://example.com/redirect/Ij48c2NyaXB0PmFsZXJ0KC94c3MvKTs8L3NjcmlwdD4K

 

Можно выполнять любой js-код от имени пользователя, и он заранее ни о чем не догадается, спасибо base64-обфускации.

 

Но самое забавное - это то, что мод не учитывает возможности, что в настройках может быть отключена страница переадресации. При таком сценарии никакой "страницы редиректа" не будет - будет сразу 302-переадресация на новый url, что полностью уничтожает всю пользу от мода. Причем, так ак нет никакой проверки url, адрес вида:

http://example.com/redirect/dGVzdAo=

приведет к мертвой петле - бесконечному перезапрашиванию все той же страницы, пока не упадет сервер, или не сработает встроенная защита в браузере. Но еще веселее будет, если страницы переадресации не выключены. Тогда все та же ссылка навечно завесит круговой редирект с интервалом в 2 секунды, и так и будет долбать сервер, пока сам пользователь не закроет вкладку, устав "ждать чуда".

Ссылка на комментарий
Поделиться на других сайтах

×
×
  • Создать...

Важная информация

Находясь на нашем сайте, вы соглашаетесь на использование файлов cookie, а также с нашим положением о конфиденциальности Политика конфиденциальности и пользовательским соглашением Условия использования.