Проведение атаки межсайтового скриптинга (XSS)

Проблема: При определенных условиях на сайт можно провести атаку XSS. Данными условиями является посещение авторизованным администратором, сайта злоумышленника, при этом использование администратором устаревшего браузера, что может привести к перехвату куков браузера.

Ошибка в версии: 7.x - 8.5

Степень опасности: Низкая

Для исправления скачайте и скопируйте на свой сервер патч: dle7_85_path.zip [3,17 Kb] (cкачиваний: 364)

Данный патч применим ко всем версиям: 7.x - 8.5
Другие новости по теме:

Категория: Баги ----- Просмотров: 3750 ----- Комментариев: 22

Вернуться

  • Группа: r00t Admin
  • ICQ: --
  • Регистрация: 11.12.2007
  • Комментариев: 411
  • Публикаций: 389
^
lol lol lol одна дырка спалена! Да здравствует mastermind.pp.ua/datalife-engine. wink
Надо было не публиковать статью feel

--------------------
mastermind.pp.ua/datalife-engine Всё для Datalife Engine (DLE)

Правила форума

Каждый админ должен построить сеть, посадить кактус и выростить кота!
  • Группа: User
  • ICQ: 1739390
  • Регистрация: 29.01.2010
  • Комментариев: 274
  • Публикаций: 44
^
Степень опасности: Низкая? laughing

--------------------
Оставить отзыв Сайту
Мы будем благодарны за ваше внимание!
  • Группа: r00t Admin
  • ICQ: --
  • Регистрация: 11.12.2007
  • Комментариев: 411
  • Публикаций: 389
^
Цитата: AlexBen
Степень опасности: Низкая?

Ну я так понял только хеш можно вытащить.

--------------------
mastermind.pp.ua/datalife-engine Всё для Datalife Engine (DLE)

Правила форума

Каждый админ должен построить сеть, посадить кактус и выростить кота!
  • Группа: Гости
  • ICQ: --
  • Регистрация: --
  • Комментариев: 0
  • Публикаций: 0
^
А потом через снифер стырить пасс и логин админа

  • neoks

  • 3 июня 2010 20:34
  • Группа: User
  • ICQ: --
  • Регистрация: 20.07.2009
  • Комментариев: 556
  • Публикаций: 121
^
AlexBen,
ну это написал целкософт что бы не получить по голове от пользователей его лицензии wink

Как бы сама по себе дыра не представляет опасности но если учесть что целка не залата дыру через которую став админом можно залить шел то дыра полезная wink

--------------------
Забиваем Яндек сателлитами на SL-CMS | sl-cms.com/SL_SYSTEM.zip
При затратах 90р на домен, прибыль более 600р с сайта в месяц, а если сетка в 100 сайтов ? ;)
RAID + REDevil + SL SYSTEM > SAPE = $$$$
Наращивание (ТИЦ/PR - 40/3) и поднятие ключевых слов в ТОП 10, в ЛС - от 50$ в месяц
  • Группа: Гости
  • ICQ: 767792
  • Регистрация: 14.02.2008
  • Комментариев: 414
  • Публикаций: 19
^
как минимум - 2 баги ещё не спалены.

  • myzikk

  • 3 июня 2010 20:49
  • Группа: User
  • ICQ: --
  • Регистрация: 24.12.2009
  • Комментариев: 42
  • Публикаций: 3
^
ZLoY Волосатый Торт, Совершенно верно Очень злой feel
  • Группа: r00t Admin
  • ICQ: --
  • Регистрация: 11.12.2007
  • Комментариев: 411
  • Публикаций: 389
^
Цитата: ZLoY Волосатый Торт
как минимум - 2 баги ещё не спалены.

Не сочти за обиду, но помниться мне, ты даже устраивал конкурс по поводу взлома твоего сайта и сервера за денежное вознаграждение. Ты им деньги выплатил? wink Естественно ты и знаешь уязвимости с которых тебя взломали. bm Я понимаю, что дырки значимые, для кого то они принесут пользу, а для кого-то - нет.

--------------------
mastermind.pp.ua/datalife-engine Всё для Datalife Engine (DLE)

Правила форума

Каждый админ должен построить сеть, посадить кактус и выростить кота!
  • Группа: User
  • ICQ: --
  • Регистрация: 20.04.2009
  • Комментариев: 78
  • Публикаций: 3
^
Цитата: ZLoY Волосатый Торт
как минимум - 2 баги ещё не спалены.

спалят суки

Степень опасности: Низкая
дадада

напиать php код который заменит форму входа на фейкоую будет безопастно

  • NoSay

  • 3 июня 2010 20:59
  • Группа: Модератор
  • ICQ: --
  • Регистрация: 12.11.2009
  • Комментариев: 81
  • Публикаций: 10
^
Всё исправил баг, благодарю bs

--------------------
www.spacebattles.ru - Онлайн браузерная космическая стратегия!

  • myzikk

  • 3 июня 2010 22:54
  • Группа: User
  • ICQ: --
  • Регистрация: 24.12.2009
  • Комментариев: 42
  • Публикаций: 3
^
Baggio, по моим данным WF был взломан через дырявых сайт который был на аке.Злой хакер успел слить только пару баз данных.
Так что хац.хакеры изучайте дальше Dle он вам еще откроет мир больших дыр.
az
  • Группа: User
  • ICQ: --
  • Регистрация: 9.02.2009
  • Комментариев: 64
  • Публикаций: 20
^
бугага
спалили всетаки wink
официально было вроде print $out_txt; а тут откуда-то появился echo $out_txt; lol

--------------------
SECURED DLE v.1.0 - спешите узнать
Не наживайте себе врага в виде KZPROMO (C) ZLoy
RU-UA.WS
  • Группа: r00t Admin
  • ICQ: --
  • Регистрация: 11.12.2007
  • Комментариев: 411
  • Публикаций: 389
^
Это только капля в море wink офф сайт наверное будет взломан в последнюю очередь wink

--------------------
mastermind.pp.ua/datalife-engine Всё для Datalife Engine (DLE)

Правила форума

Каждый админ должен построить сеть, посадить кактус и выростить кота!
  • Группа: User
  • ICQ: --
  • Регистрация: 9.02.2009
  • Комментариев: 64
  • Публикаций: 20
^
прикол в том что офф сайт давно от всякой хyйни закрыт wink

--------------------
SECURED DLE v.1.0 - спешите узнать
Не наживайте себе врага в виде KZPROMO (C) ZLoy
RU-UA.WS
  • Группа: r00t Admin
  • ICQ: --
  • Регистрация: 11.12.2007
  • Комментариев: 411
  • Публикаций: 389
^
Цитата: nugumanov
прикол в том что офф сайт давно от всякой хyйни закрыт

Заебись, нет слов.

--------------------
mastermind.pp.ua/datalife-engine Всё для Datalife Engine (DLE)

Правила форума

Каждый админ должен построить сеть, посадить кактус и выростить кота!
  • Группа: User
  • ICQ: --
  • Регистрация: 16.08.2008
  • Комментариев: 156
  • Публикаций: 2
^
Цитата: nugumanov
официально было вроде print $out_txt; а тут откуда-то появился echo $out_txt;

так разници между функциями print и echo нет вроде)

  • neoks

  • 4 июня 2010 10:47
  • Группа: User
  • ICQ: --
  • Регистрация: 20.07.2009
  • Комментариев: 556
  • Публикаций: 121
^
Цитата: nugumanov
прикол в том что офф сайт давно от всякой хyйни закрыт

Кто бы сомневался wink

--------------------
Забиваем Яндек сателлитами на SL-CMS | sl-cms.com/SL_SYSTEM.zip
При затратах 90р на домен, прибыль более 600р с сайта в месяц, а если сетка в 100 сайтов ? ;)
RAID + REDevil + SL SYSTEM > SAPE = $$$$
Наращивание (ТИЦ/PR - 40/3) и поднятие ключевых слов в ТОП 10, в ЛС - от 50$ в месяц
  • Группа: User
  • ICQ: --
  • Регистрация: 9.02.2009
  • Комментариев: 64
  • Публикаций: 20
^
так разници между функциями print и echo нет вроде)

print - функция, а echo - языковая конструкция.

--------------------
SECURED DLE v.1.0 - спешите узнать
Не наживайте себе врага в виде KZPROMO (C) ZLoy
RU-UA.WS
  • Группа: Гости
  • ICQ: --
  • Регистрация: --
  • Комментариев: 0
  • Публикаций: 0
^
Цитата: Freema[N
]Степень опасности: Низкая
дадада

высокая это когда каждый школолололо этим багом пользоваться умеет

  • Lion__

  • 5 июня 2010 13:22
  • Группа: Гости
  • ICQ: --
  • Регистрация: --
  • Комментариев: 0
  • Публикаций: 0
^
Baggio Сейчас ожидание пока целка наверняка свалит в отпуск
  • Группа: Гости
  • ICQ: 767792
  • Регистрация: 14.02.2008
  • Комментариев: 414
  • Публикаций: 19
^
DLEшные баги такие DLEшные... )

  • vilcom

  • 6 июня 2010 13:07
  • Группа: User
  • ICQ: 6017724
  • Регистрация: 18.10.2008
  • Комментариев: 276
  • Публикаций: 4
^
DLEшные баги такие DLEшные... )


даа..DLE уже не торт...)

--------------------
создание и обслуживание сайтов на DLE;написание модулей и хаков;техподдержка по icq

>>>бесплатных консультаций не предоставляю
На самую главную
На главную

Релизы CMS DLE
Шаблоны для DLE
Модули для DLE
Хаки
Платные DLE шаблоны & модули
Баги
Скрипты для сайта
Вебмастеру
Для фотошопа
Все последние новости