DLE: embed xss уязвимость v2, встраивание вредоносного кода, кража кукисов Разговор был в теме: http://be.rdn-team.com/forum/showtopic-779/#message-3060 Но объявился наш друг факир и его новый код уявимости:
Опять все куки утекли на сервер злоумышленника так как обработку html тега он успешно обошел закрывающимся тегом /hide который превращается в /div Что будем делать? Будем полностью блокировать embed на сайте и форуме, файлы редактируем те же: /engine/classes/parse.class.php (dle) /engine/bullet_energy/classes/filter.class.php (be) Исправления в файле вложения. |
сделаю любой модуль dle на заказ, если вам нужны услуги по dle
скaйп rdn-team.com
телегрaм @histoo
То есть на сайте и форуме нельзя будет добавлять ролики с вк/.ютуб? Плохо, если так |
Гость007, ролики вк и ютуб не добавляются тегом embed, они идут через разрешенный iframe домен. |
сделаю любой модуль dle на заказ, если вам нужны услуги по dle
скaйп rdn-team.com
телегрaм @histoo
Здесь попробую Сообщение отредактировал Гость007 3 октября 2016 - 12:23 |