1. Приветствуем Вас на неофициальном форуме технической поддержки XenForo на русском языке. XenForo - коммерческий форумный движок от бывших создателей vBulletin, написанный на PHP.

1.3.1 XSS уязвимость в XenForo?

Тема в разделе "Баги XenForo", создана пользователем .v1nest, 21.07.2014.

Загрузка
  1. .v1nest

    .v1nest Активный пользователь

    Регистрация:
    21.07.14
    Сообщения:
    2
    Симпатии:
    0
    Версия XF:
    1.3.1
    Ходить вокруг да около не буду:

    Создаем новую тему, суем туда
    [​IMG]
    На выходе получаем:
    [​IMG]

    Уж как украсть куки и тем более как юзать — расписывать не буду.
    Работает не на всех версиях xenForo.

    У себя пофиксилось фильтром bb-кода </script>
     
    .v1nest, 21.07.2014
    #1
  2. Yoskaldyr

    Yoskaldyr Пользователь

    Регистрация:
    27.09.10
    Сообщения:
    1 921
    Симпатии:
    1 163
    Версия XF:
    1.0.4
    поржал :)
    Ну попробуйте создать тему здесь на форуме с этой "уязвимостью" :)

    P.S. Мой совет - не ставьте кривых дополнений, не будет и уязвимости (99% что это хак хайда)
     
    Yoskaldyr, 21.07.2014
    #2
    Mirovinger, infis и Kolya groza morey нравится это.
  3. .v1nest

    .v1nest Активный пользователь

    Регистрация:
    21.07.14
    Сообщения:
    2
    Симпатии:
    0
    Версия XF:
    1.3.1
    Не исключено, я показал что есть, надеюсь кто у себя найдет - прикроет дырку :)
     
    .v1nest, 21.07.2014
    #3
  4. Yoskaldyr

    Yoskaldyr Пользователь

    Регистрация:
    27.09.10
    Сообщения:
    1 921
    Симпатии:
    1 163
    Версия XF:
    1.0.4
    @.v1nest, просто тогда пишите что уязвимость в таком-то и таком-то дополнении, а не уязвимость xenforo. А еще лучше в теме дополнения если такая есть здесь на форуме.
     
    Yoskaldyr, 21.07.2014
    #4
  5. melti25

    melti25 Read only

    Регистрация:
    24.09.14
    Сообщения:
    11
    Симпатии:
    0
    Версия XF:
    1.4.0
    Это в заголовок или в текст совать? :)
     
    melti25, 26.09.2014
    #5
  6. xcode

    xcode Пользователь

    Регистрация:
    28.11.13
    Сообщения:
    2
    Симпатии:
    0
    сценарий должен быть в теге code
     
    xcode, 26.09.2014
    #6
  7. melti25

    melti25 Read only

    Регистрация:
    24.09.14
    Сообщения:
    11
    Симпатии:
    0
    Версия XF:
    1.4.0
    [​IMG]
    На выходе получаем:

    Код:
    "><script>alert(/BruteZoneTeam/)</script>
    --- добавлено : Sep 26, 2014 9:35 AM ---
    Код:
    <script>alert(/BruteZoneTeam/)</script>
    --- добавлено : Sep 26, 2014 9:37 AM ---
    И что дальше? :whistling:
     
    Последнее редактирование модератором: 04.10.2014
    melti25, 26.09.2014
    #7
  8. xcode

    xcode Пользователь

    Регистрация:
    28.11.13
    Сообщения:
    2
    Симпатии:
    0
     
    Последнее редактирование модератором: 04.10.2014
    xcode, 26.09.2014
    #8

Поделиться этой страницей