1. Приветствуем Вас на неофициальном форуме технической поддержки XenForo на русском языке. XenForo - новый и перспективный форумный движок от бывших создателей vBulletin.

1.3.1 XSS уязвимость в XenForo?

Тема в разделе "Баги XenForo", создана пользователем .v1nest, 21 июл 2014.

Загрузка
  1. .v1nest

    .v1nest Активный пользователь

    Регистрация:
    21.07.14
    Сообщения:
    2
    Симпатии:
    0
    Версия XF:
    1.3.1
    Ходить вокруг да около не буду:

    Создаем новую тему, суем туда
    [​IMG]
    На выходе получаем:
    [​IMG]

    Уж как украсть куки и тем более как юзать — расписывать не буду.
    Работает не на всех версиях xenForo.

    У себя пофиксилось фильтром bb-кода </script>
     
  2. Yoskaldyr

    Yoskaldyr Пользователь

    Регистрация:
    27.09.10
    Сообщения:
    1.919
    Симпатии:
    1.154
    Версия XF:
    1.0.4
    поржал :)
    Ну попробуйте создать тему здесь на форуме с этой "уязвимостью" :)

    P.S. Мой совет - не ставьте кривых дополнений, не будет и уязвимости (99% что это хак хайда)
     
    Mirovinger, infis и Kolya groza morey нравится это.
  3. .v1nest

    .v1nest Активный пользователь

    Регистрация:
    21.07.14
    Сообщения:
    2
    Симпатии:
    0
    Версия XF:
    1.3.1
    Не исключено, я показал что есть, надеюсь кто у себя найдет - прикроет дырку :)
     
  4. Yoskaldyr

    Yoskaldyr Пользователь

    Регистрация:
    27.09.10
    Сообщения:
    1.919
    Симпатии:
    1.154
    Версия XF:
    1.0.4
    @.v1nest, просто тогда пишите что уязвимость в таком-то и таком-то дополнении, а не уязвимость xenforo. А еще лучше в теме дополнения если такая есть здесь на форуме.
     
  5. melti25

    melti25 Read only

    Регистрация:
    24.09.14
    Сообщения:
    11
    Симпатии:
    0
    Версия XF:
    1.4.0
    Это в заголовок или в текст совать? :)
     
  6. xcode

    xcode Пользователь

    Регистрация:
    28.11.13
    Сообщения:
    2
    Симпатии:
    0
    сценарий должен быть в теге code
     
  7. melti25

    melti25 Read only

    Регистрация:
    24.09.14
    Сообщения:
    11
    Симпатии:
    0
    Версия XF:
    1.4.0
    [​IMG]
    На выходе получаем:

    Код:
    "><script>alert(/BruteZoneTeam/)</script>
    --- добавлено : Sep 26, 2014 9:35 AM ---
    Код:
    <script>alert(/BruteZoneTeam/)</script>
    --- добавлено : Sep 26, 2014 9:37 AM ---
    И что дальше? :whistling:
     
    Последнее редактирование модератором: 4 окт 2014
  8. xcode

    xcode Пользователь

    Регистрация:
    28.11.13
    Сообщения:
    2
    Симпатии:
    0
     
    Последнее редактирование модератором: 4 окт 2014

Поделиться этой страницей