Тема: Аудит.
Показать сообщение отдельно
Старый 30.03.2013, 23:54   #6
bulat
 
Регистрация: 29.03.2013
Сообщений: 7
Репутация: 0
По умолчанию

На http://devacodemy.sellfiles.ru/ обновили версию системы.

Думаем, что заткнули следующее (проверьте, pls, теперь):
FPD и нехранимый XSS в
http://devacodemy.sellfiles.ru/admin/services/log и т.д.
http://devacodemy.sellfiles.ru/services/log и т.д.
http://devacodemy.sellfiles.ru/services/course и т.д.

На входе хранимый XSS через UA и др. поля (кроме logdata - тот затыкается только на выходе) в
http://devacodemy.sellfiles.ru/admin/services/log и т.д.
http://devacodemy.sellfiles.ru/services/log и т.д.

В других сервисах этого еще не трогали - сделаем по аналогии.

Убрал http://devacodemy.sellfiles.ru/admin/wannateach/
(/admin/log оставил - слово админ там просто так )


Кстати, а различные лишние подробности о системе у нас не просачиваются через заголовки HTTP-ответов и т.п.?

Последний раз редактировалось bulat; 30.03.2013 в 23:56..
bulat вне форума