Сделать домашней|Добавить в избранное
 
 
dle.in.ua » Баги » Проведение атаки межсайтового скриптинга (XSS)
  • ▪ Радел форума
  • Тема
  • Автор
  • Ответов |
  • Посл. ответ

Проведение атаки межсайтового скриптинга (XSS)

Автор: neoks от 3-06-2010, 19:29
Проблема: При определенных условиях на сайт можно провести атаку XSS. Данными условиями является посещение авторизованным администратором, сайта злоумышленника, при этом использование администратором устаревшего браузера, что может привести к перехвату куков браузера.

Ошибка в версии: 7.x - 8.5

Степень опасности: Низкая

Для исправления скачайте и скопируйте на свой сервер патч: dle7_85_path.zip [3.17 Kb] (cкачиваний: 337)

Данный патч применим ко всем версиям: 7.x - 8.5
Другие новости по теме:

Вернуться 2645 22
 

Категория: Баги

  • Группа: r00t Admin
  • Icq: --
  • Комментариев: 410
  • Публикаций: 389
    • lol lol lol одна дырка спалена! Да здравствует dle.in.ua. wink
    Надо было не публиковать статью feel

    --------------------
    DLE.IN.UA Всё для Datalife Engine (DLE) in UA-IX

    Правила форума

    linux-bsd.in.ua Linux & FreeBSD

    Каждый админ должен построить сеть, посадить кактус и выростить кота!
    • Baggio
    • Регистрация: 11.12.2007
    • Репутация: (0|0|0)
    • 3 июня 2010 20:12
    • 1
    ^
  • Группа: User
  • Icq: 1739390
  • Комментариев: 274
  • Публикаций: 44
    • Степень опасности: Низкая? laughing

    --------------------
    Оставить отзыв Сайту
    Мы будем благодарны за ваше внимание!
    • AlexBen
    • Регистрация: 29.01.2010
    • Репутация: (8|7|-1)
    • 3 июня 2010 20:17
    • 2
    ^
  • Группа: r00t Admin
  • Icq: --
  • Комментариев: 410
  • Публикаций: 389
    • Цитата: AlexBen
    Степень опасности: Низкая?

    Ну я так понял только хеш можно вытащить.

    --------------------
    DLE.IN.UA Всё для Datalife Engine (DLE) in UA-IX

    Правила форума

    linux-bsd.in.ua Linux & FreeBSD

    Каждый админ должен построить сеть, посадить кактус и выростить кота!
    • Baggio
    • Регистрация: 11.12.2007
    • Репутация: (0|0|0)
    • 3 июня 2010 20:26
    • 3
    ^
  • Группа: Гости
  • Icq: --
  • Комментариев: 0
  • Публикаций: 0
    • А потом через снифер стырить пасс и логин админа
    • Demon156
    • Регистрация: --
    • Репутация: (||)
    • 3 июня 2010 20:27
    • 4
    ^
  • Группа: User
  • Icq: --
  • Комментариев: 556
  • Публикаций: 121
    • AlexBen,
    ну это написал целкософт что бы не получить по голове от пользователей его лицензии wink

    Как бы сама по себе дыра не представляет опасности но если учесть что целка не залата дыру через которую став админом можно залить шел то дыра полезная wink

    --------------------
    Забиваем Яндек сателлитами на SL-CMS | sl-cms.com/SL_SYSTEM.zip
    При затратах 90р на домен, прибыль более 600р с сайта в месяц, а если сетка в 100 сайтов ? ;)
    RAID + REDevil + SL SYSTEM > SAPE = $$$$
    Наращивание (ТИЦ/PR - 40/3) и поднятие ключевых слов в ТОП 10, в ЛС - от 50$ в месяц
    • neoks
    • Регистрация: 20.07.2009
    • Репутация: (0|0|0)
    • 3 июня 2010 20:34
    • 5
    ^
  • Группа: Гости
  • Icq: 767792
  • Комментариев: 414
  • Публикаций: 19
    • как минимум - 2 баги ещё не спалены.
    ^
  • Группа: User
  • Icq: --
  • Комментариев: 42
  • Публикаций: 3
    • ZLoY Волосатый Торт, Совершенно верно Очень злой feel
    • myzikk
    • Регистрация: 24.12.2009
    • Репутация: (0|0|0)
    • 3 июня 2010 20:49
    • 7
    ^
  • Группа: r00t Admin
  • Icq: --
  • Комментариев: 410
  • Публикаций: 389
    • Цитата: ZLoY Волосатый Торт
    как минимум - 2 баги ещё не спалены.

    Не сочти за обиду, но помниться мне, ты даже устраивал конкурс по поводу взлома твоего сайта и сервера за денежное вознаграждение. Ты им деньги выплатил? wink Естественно ты и знаешь уязвимости с которых тебя взломали. bm Я понимаю, что дырки значимые, для кого то они принесут пользу, а для кого-то - нет.

    --------------------
    DLE.IN.UA Всё для Datalife Engine (DLE) in UA-IX

    Правила форума

    linux-bsd.in.ua Linux & FreeBSD

    Каждый админ должен построить сеть, посадить кактус и выростить кота!
    • Baggio
    • Регистрация: 11.12.2007
    • Репутация: (0|0|0)
    • 3 июня 2010 20:52
    • 8
    ^
  • Группа: User
  • Icq: --
  • Комментариев: 78
  • Публикаций: 3
    • Цитата: ZLoY Волосатый Торт
    как минимум - 2 баги ещё не спалены.

    спалят суки

    Степень опасности: Низкая
    дадада

    напиать php код который заменит форму входа на фейкоую будет безопастно
    • FreemaN
    • Регистрация: 20.04.2009
    • Репутация: (0|0|0)
    • 3 июня 2010 20:53
    • 9
    ^
  • Группа: Модератор
  • Icq: --
  • Комментариев: 81
  • Публикаций: 10
    • Всё исправил баг, благодарю bs

    --------------------
    www.spacebattles.ru - Онлайн браузерная космическая стратегия!
    • NoSay
    • Регистрация: 12.11.2009
    • Репутация: (2|2|0)
    • 3 июня 2010 20:59
    • 10
    ^
  • Группа: User
  • Icq: --
  • Комментариев: 42
  • Публикаций: 3
    • Baggio, по моим данным WF был взломан через дырявых сайт который был на аке.Злой хакер успел слить только пару баз данных.
    Так что хац.хакеры изучайте дальше Dle он вам еще откроет мир больших дыр.
    az
    • myzikk
    • Регистрация: 24.12.2009
    • Репутация: (0|0|0)
    • 3 июня 2010 22:54
    • 11
    ^
  • Группа: User
  • Icq: --
  • Комментариев: 64
  • Публикаций: 20
    • бугага
    спалили всетаки wink
    официально было вроде print $out_txt; а тут откуда-то появился echo $out_txt; lol

    --------------------
    SECURED DLE v.1.0 - спешите узнать
    Не наживайте себе врага в виде KZPROMO (C) ZLoy
    RU-UA.WS
    • nugumanov
    • Регистрация: 9.02.2009
    • Репутация: (0|0|0)
    • 4 июня 2010 08:42
    • 12
    ^
  • Группа: r00t Admin
  • Icq: --
  • Комментариев: 410
  • Публикаций: 389
    • Это только капля в море wink офф сайт наверное будет взломан в последнюю очередь wink

    --------------------
    DLE.IN.UA Всё для Datalife Engine (DLE) in UA-IX

    Правила форума

    linux-bsd.in.ua Linux & FreeBSD

    Каждый админ должен построить сеть, посадить кактус и выростить кота!
    • Baggio
    • Регистрация: 11.12.2007
    • Репутация: (0|0|0)
    • 4 июня 2010 09:38
    • 13
    ^
  • Группа: User
  • Icq: --
  • Комментариев: 64
  • Публикаций: 20
    • прикол в том что офф сайт давно от всякой хyйни закрыт wink

    --------------------
    SECURED DLE v.1.0 - спешите узнать
    Не наживайте себе врага в виде KZPROMO (C) ZLoy
    RU-UA.WS
    • nugumanov
    • Регистрация: 9.02.2009
    • Репутация: (0|0|0)
    • 4 июня 2010 09:43
    • 14
    ^
  • Группа: r00t Admin
  • Icq: --
  • Комментариев: 410
  • Публикаций: 389
    • Цитата: nugumanov
    прикол в том что офф сайт давно от всякой хyйни закрыт

    Заебись, нет слов.

    --------------------
    DLE.IN.UA Всё для Datalife Engine (DLE) in UA-IX

    Правила форума

    linux-bsd.in.ua Linux & FreeBSD

    Каждый админ должен построить сеть, посадить кактус и выростить кота!
    • Baggio
    • Регистрация: 11.12.2007
    • Репутация: (0|0|0)
    • 4 июня 2010 10:33
    • 15
    ^
  • Группа: User
  • Icq: --
  • Комментариев: 156
  • Публикаций: 2
    • Цитата: nugumanov
    официально было вроде print $out_txt; а тут откуда-то появился echo $out_txt;

    так разници между функциями print и echo нет вроде)
    • Dimas-rap
    • Регистрация: 16.08.2008
    • Репутация: (0|0|0)
    • 4 июня 2010 10:47
    • 16
    ^
  • Группа: User
  • Icq: --
  • Комментариев: 556
  • Публикаций: 121
    • Цитата: nugumanov
    прикол в том что офф сайт давно от всякой хyйни закрыт

    Кто бы сомневался wink

    --------------------
    Забиваем Яндек сателлитами на SL-CMS | sl-cms.com/SL_SYSTEM.zip
    При затратах 90р на домен, прибыль более 600р с сайта в месяц, а если сетка в 100 сайтов ? ;)
    RAID + REDevil + SL SYSTEM > SAPE = $$$$
    Наращивание (ТИЦ/PR - 40/3) и поднятие ключевых слов в ТОП 10, в ЛС - от 50$ в месяц
    • neoks
    • Регистрация: 20.07.2009
    • Репутация: (0|0|0)
    • 4 июня 2010 10:47
    • 17
    ^
  • Группа: User
  • Icq: --
  • Комментариев: 64
  • Публикаций: 20
    • так разници между функциями print и echo нет вроде)

    print - функция, а echo - языковая конструкция.

    --------------------
    SECURED DLE v.1.0 - спешите узнать
    Не наживайте себе врага в виде KZPROMO (C) ZLoy
    RU-UA.WS
    • nugumanov
    • Регистрация: 9.02.2009
    • Репутация: (0|0|0)
    • 4 июня 2010 11:10
    • 18
    ^
  • Группа: Гости
  • Icq: --
  • Комментариев: 0
  • Публикаций: 0
    • Цитата: Freema[N
    ]Степень опасности: Низкая
    дадада

    высокая это когда каждый школолололо этим багом пользоваться умеет
    ^
  • Группа: Гости
  • Icq: --
  • Комментариев: 0
  • Публикаций: 0
    • Baggio Сейчас ожидание пока целка наверняка свалит в отпуск
    • Lion__
    • Регистрация: --
    • Репутация: (||)
    • 5 июня 2010 13:22
    • 20
    ^
  • Группа: Гости
  • Icq: 767792
  • Комментариев: 414
  • Публикаций: 19
    • DLEшные баги такие DLEшные... )
    ^
  • Группа: User
  • Icq: 6017724
  • Комментариев: 276
  • Публикаций: 4
    • DLEшные баги такие DLEшные... )


    даа..DLE уже не торт...)

    --------------------
    создание и обслуживание сайтов на DLE;написание модулей и хаков;техподдержка по icq

    >>>бесплатных консультаций не предоставляю
    • vilcom
    • Регистрация: 18.10.2008
    • Репутация: (0|0|0)
    • 6 июня 2010 13:07
    • 22
    ^
    Информация
    Посетители, находящиеся в группе Гости, не могут оставлять комментарии к данной публикации.
    9.2, Auto-Speed для DLE 9.4, banana, CoolWarezPortal 9.4, dle, dle 93, et4t, Kinostar DLE 9.4, Mid[Style], psd, river, strikenight, template, Test-Templates, Vkunion, Форум, бд, бесплатно, видео вконтакте, вывод, дешево, дле, изменения, книги шаблон, магазины, модуль, модуль вопрос-ответ, новости, оффлайн, платные шаблоны, платные шаблоны dle, продажа, сайт онлайн фильмов, страница 404, топ, хак, шаблон, шаблон для dle, шаблон для дле, шаблон онлайн книг

    Показать все теги
     

    Только у нас
    dle шаблоны бесплатные
    для DataLife