RDot

RDot (https://rdot.org/forum/index.php)
-   Сценарии/CMF/СMS (https://rdot.org/forum/forumdisplay.php?f=15)
-   -   2zproject (https://rdot.org/forum/showthread.php?t=2391)

HACKERSMARSA 27.08.2012 22:22

2zproject
 
Движок: 2zproject
Версия: 0.9.7.1(последняя вроде)
Уязвимость: XSS(активка)
Применение: Добавляем новость с содержанием:
Код:

<IMG """><SCRIPT>alert("XSS")</SCRIPT>">
p.s Должно быть включенное HTML

M@ZAX@KEP 28.08.2012 08:40

Цитата:

p.s Должно быть включенное HTML
Вот это настораживает... HTML должен админ включать?

HACKERSMARSA 28.08.2012 08:57

Цитата:

Сообщение от M@ZAX@KEP (Сообщение 28218)
Вот это настораживает... HTML должен админ включать?

Да,по дефолту отключенно

M@ZAX@KEP 29.08.2012 04:03

Забавно, но так можно сразу писать, что XSS есть на всех сайтах Ucoz и форумах Vbulletin, например. Там тоже html в сообщениях отключен по дефолту, но админ может дать право использовать его некоторым группам пользователей.

mr.The 29.08.2012 14:51

Цитата:

Сообщение от M@ZAX@KEP (Сообщение 28232)
Забавно, но так можно сразу писать, что XSS есть на всех сайтах Ucoz и форумах Vbulletin, например. Там тоже html в сообщениях отключен по дефолту, но админ может дать право использовать его некоторым группам пользователей.

Нет же. В булке и прочих стоит парсер, который обрезает левые теги и всякий мусор. Есть куча багов основанных на том, что парсер - лох. И этот - в их числе. Баг же не в том, что можно просто вставить "<SCRIPT>alert("XSS")</SCRIPT>", а в том, что вставлять его надо в картинку. Это простейший вариант, вот тут, например, чуть сложнее. Ну или вспомни xss в твитере: https://rdot.org/forum/showthread.php?t=728

M@ZAX@KEP 29.08.2012 23:39

Извините тогда, не знал, что разрешение html в VBulletin всё равно будет неполным.


Часовой пояс GMT +3, время: 11:28.

Powered by vBulletin® Version 3.8.5
Copyright ©2000 - 2019, Jelsoft Enterprises Ltd. Перевод: zCarot