dle.in.ua » Баги » Проведение атаки межсайтового скриптинга (XSS)

Проведение атаки межсайтового скриптинга (XSS)

Автор: neoks от 3-06-2010, 19:29
Проблема: При определенных условиях на сайт можно провести атаку XSS. Данными условиями является посещение авторизованным администратором, сайта злоумышленника, при этом использование администратором устаревшего браузера, что может привести к перехвату куков браузера.

Ошибка в версии: 7.x - 8.5

Степень опасности: Низкая

Для исправления скачайте и скопируйте на свой сервер патч: dle7_85_path.zip [3,17 Kb] (cкачиваний: 367)

Данный патч применим ко всем версиям: 7.x - 8.5
  • Группа: r00t Admin
  • Icq: --
  • Комментариев: 410
  • Публикаций: 389
  • lol lol lol одна дырка спалена! Да здравствует dle.in.ua. wink
    Надо было не публиковать статью feel

    --------------------
    • Baggio
    • Регистрация: 11.12.2007
    • Репутация: (0|0|0)
    • 3 июня 2010 20:12
    • 1
    ^
  • Группа: User
  • Icq: 1739390
  • Комментариев: 274
  • Публикаций: 44
  • Степень опасности: Низкая? laughing

    --------------------
    • AlexBen
    • Регистрация: 29.01.2010
    • Репутация: (8|7|-1)
    • 3 июня 2010 20:17
    • 2
    ^
  • Группа: r00t Admin
  • Icq: --
  • Комментариев: 410
  • Публикаций: 389
  • Цитата: AlexBen
    Степень опасности: Низкая?

    Ну я так понял только хеш можно вытащить.

    --------------------
    • Baggio
    • Регистрация: 11.12.2007
    • Репутация: (0|0|0)
    • 3 июня 2010 20:26
    • 3
    ^
  • Группа: Гости
  • Icq: --
  • Комментариев: 0
  • Публикаций: 0
  • А потом через снифер стырить пасс и логин админа
    • Demon156
    • Регистрация: --
    • Репутация: (||)
    • 3 июня 2010 20:27
    • 4
    ^
  • Группа: User
  • Icq: --
  • Комментариев: 556
  • Публикаций: 121
  • AlexBen,
    ну это написал целкософт что бы не получить по голове от пользователей его лицензии wink

    Как бы сама по себе дыра не представляет опасности но если учесть что целка не залата дыру через которую став админом можно залить шел то дыра полезная wink

    --------------------
    • neoks
    • Регистрация: 20.07.2009
    • Репутация: (0|0|0)
    • 3 июня 2010 20:34
    • 5
    ^
  • Группа: Гости
  • Icq: 767792
  • Комментариев: 414
  • Публикаций: 19
  • как минимум - 2 баги ещё не спалены.
    ^
  • Группа: User
  • Icq: --
  • Комментариев: 42
  • Публикаций: 3
  • ZLoY Волосатый Торт, Совершенно верно Очень злой feel
    • myzikk
    • Регистрация: 24.12.2009
    • Репутация: (0|0|0)
    • 3 июня 2010 20:49
    • 7
    ^
  • Группа: r00t Admin
  • Icq: --
  • Комментариев: 410
  • Публикаций: 389
  • Цитата: ZLoY Волосатый Торт
    как минимум - 2 баги ещё не спалены.

    Не сочти за обиду, но помниться мне, ты даже устраивал конкурс по поводу взлома твоего сайта и сервера за денежное вознаграждение. Ты им деньги выплатил? wink Естественно ты и знаешь уязвимости с которых тебя взломали. bm Я понимаю, что дырки значимые, для кого то они принесут пользу, а для кого-то - нет.

    --------------------
    • Baggio
    • Регистрация: 11.12.2007
    • Репутация: (0|0|0)
    • 3 июня 2010 20:52
    • 8
    ^
  • Группа: User
  • Icq: --
  • Комментариев: 78
  • Публикаций: 3
  • Цитата: ZLoY Волосатый Торт
    как минимум - 2 баги ещё не спалены.

    спалят суки

    Степень опасности: Низкая
    дадада

    напиать php код который заменит форму входа на фейкоую будет безопастно
    • FreemaN
    • Регистрация: 20.04.2009
    • Репутация: (0|0|0)
    • 3 июня 2010 20:53
    • 9
    ^
  • Группа: Модератор
  • Icq: --
  • Комментариев: 81
  • Публикаций: 10
  • Всё исправил баг, благодарю bs

    --------------------
    • NoSay
    • Регистрация: 11.11.2009
    • Репутация: (2|2|0)
    • 3 июня 2010 20:59
    • 10
    ^
  • Группа: User
  • Icq: --
  • Комментариев: 42
  • Публикаций: 3
  • Baggio, по моим данным WF был взломан через дырявых сайт который был на аке.Злой хакер успел слить только пару баз данных.
    Так что хац.хакеры изучайте дальше Dle он вам еще откроет мир больших дыр.
    az
    • myzikk
    • Регистрация: 24.12.2009
    • Репутация: (0|0|0)
    • 3 июня 2010 22:54
    • 11
    ^
  • Группа: User
  • Icq: --
  • Комментариев: 64
  • Публикаций: 20
  • бугага
    спалили всетаки wink
    официально было вроде print $out_txt; а тут откуда-то появился echo $out_txt; lol

    --------------------
    • nugumanov
    • Регистрация: 9.02.2009
    • Репутация: (0|0|0)
    • 4 июня 2010 08:42
    • 12
    ^
  • Группа: r00t Admin
  • Icq: --
  • Комментариев: 410
  • Публикаций: 389
  • Это только капля в море wink офф сайт наверное будет взломан в последнюю очередь wink

    --------------------
    • Baggio
    • Регистрация: 11.12.2007
    • Репутация: (0|0|0)
    • 4 июня 2010 09:38
    • 13
    ^
  • Группа: User
  • Icq: --
  • Комментариев: 64
  • Публикаций: 20
  • прикол в том что офф сайт давно от всякой хyйни закрыт wink

    --------------------
    • nugumanov
    • Регистрация: 9.02.2009
    • Репутация: (0|0|0)
    • 4 июня 2010 09:43
    • 14
    ^
  • Группа: r00t Admin
  • Icq: --
  • Комментариев: 410
  • Публикаций: 389
  • Цитата: nugumanov
    прикол в том что офф сайт давно от всякой хyйни закрыт

    Заебись, нет слов.

    --------------------
    • Baggio
    • Регистрация: 11.12.2007
    • Репутация: (0|0|0)
    • 4 июня 2010 10:33
    • 15
    ^
  • Группа: User
  • Icq: --
  • Комментариев: 156
  • Публикаций: 2
  • Цитата: nugumanov
    официально было вроде print $out_txt; а тут откуда-то появился echo $out_txt;

    так разници между функциями print и echo нет вроде)
    • Dimas-rap
    • Регистрация: 16.08.2008
    • Репутация: (0|0|0)
    • 4 июня 2010 10:47
    • 16
    ^
  • Группа: User
  • Icq: --
  • Комментариев: 556
  • Публикаций: 121
  • Цитата: nugumanov
    прикол в том что офф сайт давно от всякой хyйни закрыт

    Кто бы сомневался wink

    --------------------
    • neoks
    • Регистрация: 20.07.2009
    • Репутация: (0|0|0)
    • 4 июня 2010 10:47
    • 17
    ^
  • Группа: User
  • Icq: --
  • Комментариев: 64
  • Публикаций: 20
  • так разници между функциями print и echo нет вроде)

    print - функция, а echo - языковая конструкция.

    --------------------
    • nugumanov
    • Регистрация: 9.02.2009
    • Репутация: (0|0|0)
    • 4 июня 2010 11:10
    • 18
    ^
  • Группа: Гости
  • Icq: --
  • Комментариев: 0
  • Публикаций: 0
  • Цитата: Freema[N
    ]Степень опасности: Низкая
    дадада

    высокая это когда каждый школолололо этим багом пользоваться умеет
    ^
  • Группа: Гости
  • Icq: --
  • Комментариев: 0
  • Публикаций: 0
  • Baggio Сейчас ожидание пока целка наверняка свалит в отпуск
    • Lion__
    • Регистрация: --
    • Репутация: (||)
    • 5 июня 2010 13:22
    • 20
    ^
  • Группа: Гости
  • Icq: 767792
  • Комментариев: 414
  • Публикаций: 19
  • DLEшные баги такие DLEшные... )
    ^
  • Группа: User
  • Icq: 6017724
  • Комментариев: 276
  • Публикаций: 4
  • DLEшные баги такие DLEшные... )


    даа..DLE уже не торт...)

    --------------------
    • vilcom
    • Регистрация: 18.10.2008
    • Репутация: (0|0|0)
    • 6 июня 2010 13:07
    • 22
    ^
    Информация
    Посетители, находящиеся в группе Гости, не могут оставлять комментарии к данной публикации.