VianGold2 0 Опубликовано: 30 марта 2017 Рассказать Опубликовано: 30 марта 2017 Шарил по интернету и наткнулся на XSS в dle. судя по тексту, автор пишет что подвержены все версии. Ссылка на описание: скрыта Цитата Ссылка на сообщение Поделиться на других сайтах
celsoft 6 072 Опубликовано: 30 марта 2017 Рассказать Опубликовано: 30 марта 2017 Текст невозможно прочитать без регистрации и написания постов на форуме. Приводите текст опубликованный там, а не ссылки на форум который только что создан. Цитата Ссылка на сообщение Поделиться на других сайтах
VianGold2 0 Опубликовано: 30 марта 2017 Рассказать Опубликовано: 30 марта 2017 Автор 5 минут назад, celsoft сказал: Текст невозможно прочитать без регистрации и написания постов на форуме. Приводите текст опубликованный там, а не ссылки на форум который только что создан. Я сам наткнулся на инфу через гугл. И хотел уточнить поэтому может тут кто знает про это, и вообще опасно ли это. Цитата Ссылка на сообщение Поделиться на других сайтах
VianGold2 0 Опубликовано: 30 марта 2017 Рассказать Опубликовано: 30 марта 2017 (изменено) Автор 1 час назад, VianGold2 сказал: Я сам наткнулся на инфу через гугл. И хотел уточнить поэтому может тут кто знает про это, и вообще опасно ли это. По запросу "Dle 10.x 11.x post xss" в гугле находит. Вот и хочу выяснить опасно ли, просто я занимаюсь разработкой сайтов(стилей) в основном на dle. Не так давно была найдена критическая уязвимость, поэтому беспокоюсь. Изменено 30 марта 2017 пользователем VianGold2 Цитата Ссылка на сообщение Поделиться на других сайтах
germanydletest 446 Опубликовано: 30 марта 2017 Рассказать Опубликовано: 30 марта 2017 15 минут назад, VianGold2 сказал: Не так давно была найдена критическая уязвимость, поэтому беспокоюсь. она уже закрыта 1 Цитата Ссылка на сообщение Поделиться на других сайтах
VianGold2 0 Опубликовано: 30 марта 2017 Рассказать Опубликовано: 30 марта 2017 Автор 39 минут назад, germanydletest сказал: она уже закрыта Я в курсе что закрыта. Но я пишу совершенно про другую уязвимость про "Dle 9.x, 10.x 11.x post xss". И она похоже не закрыта. Цитата Ссылка на сообщение Поделиться на других сайтах
germanydletest 446 Опубликовано: 30 марта 2017 Рассказать Опубликовано: 30 марта 2017 55 минут назад, VianGold2 сказал: Но я пишу совершенно про другую уязвимость про "Dle 9.x, 10.x 11.x post xss". так предоставьте её или продемонстрируйте её работоспособность на оф.сайте http://demo.dle-news.ru/ к примеру и тогда её закроют. А то что гугл что-то там находит на пустом левом форуме, не факт, что там что-то вообще серьёзное 1 Цитата Ссылка на сообщение Поделиться на других сайтах
VianGold2 0 Опубликовано: 30 марта 2017 Рассказать Опубликовано: 30 марта 2017 (изменено) Автор 13 минуты назад, germanydletest сказал: так предоставьте её или продемонстрируйте её работоспособность на оф.сайте Я бы с радостью если бы у меня была бы такая возможность. Я надеялся что здесь специалисты оценят степень опасности этой уязвимости. Изменено 30 марта 2017 пользователем VianGold2 Цитата Ссылка на сообщение Поделиться на других сайтах
germanydletest 446 Опубликовано: 30 марта 2017 Рассказать Опубликовано: 30 марта 2017 51 минуту назад, VianGold2 сказал: специалисты оценят степень опасности этой уязвимости. так предоставьте эту уязвимость. 1 Цитата Ссылка на сообщение Поделиться на других сайтах
celsoft 6 072 Опубликовано: 30 марта 2017 Рассказать Опубликовано: 30 марта 2017 В принципе ничего серьезного я там не увидел. Как либо навредить сайту не получится. Цитата Ссылка на сообщение Поделиться на других сайтах
VianGold2 0 Опубликовано: 4 апреля 2017 Рассказать Опубликовано: 4 апреля 2017 Автор Там уже даже подробную инструкцию по взлому выложили(касаемую Dle 9.x, 10.x 11.x post xss) Цитата Ссылка на сообщение Поделиться на других сайтах
celsoft 6 072 Опубликовано: 4 апреля 2017 Рассказать Опубликовано: 4 апреля 2017 Теперь то я уж точно уверен. Что это ваш сайт. И вы его пиарите. Что мешало сразу написать здесь суть проблемы, а не скрывать на сайте на котором не единой регистрации и текст только под лайками от других пользователей. Странное поведение с вашей стороны. Но вот что действительно для меня стало неожиданностью, так это то что браузер выполнил отфильтрованный код. В коде javascript фильтруется на javascript и он не должен был выполниться как JS, а сработать как href. Что собственно раньше и было. Этот файл очень старый, фильтрация писалась очень давно, и проверялась на всех актуальных на тот момент браузерах, и она работала правильно. Видимо браузеры когда то незаметно поменяли логику своей работы. Вот это меня действительно удивило, об этом я не знал, поэтому когда и посмотрел на код, не принял его за какую либо серьезную проблему. Был дополнен патч безопасности https://dle-news.ru/bags/v112/1715-nedostatochnaya-filtraciya-dannyh.html 2 Цитата Ссылка на сообщение Поделиться на других сайтах
MSK 289 Опубликовано: 9 апреля 2017 Рассказать Опубликовано: 9 апреля 2017 В 04.04.2017 в 13:45, celsoft сказал: Был дополнен патч безопасности https://dle-news.ru/bags/v112/1715-nedostatochnaya-filtraciya-dannyh.html Ну вот, опять... Прошел МЕСЯЦ! после публикации патча, и теперь, в нем появляется дополнение. При этом, НЕТ никакой информации о том, что он изменился.... Кто в теме обсуждения на форуме - тот в курсе событий, остальные мало того, что НЕ ПОЛУЧАЮТ никаких уведомлений о появлении каких-либо патчей, так еще и остаются подвержены угрозам... Я писал уже на эту тему - сделали патч - сделайте рассылку клиентам. Почему такое отношение к нам? 1 Цитата Ссылка на сообщение Поделиться на других сайтах
celsoft 6 072 Опубликовано: 9 апреля 2017 Рассказать Опубликовано: 9 апреля 2017 22 часа назад, MSK сказал: При этом, НЕТ никакой информации о том, что он изменился.... Я писал уже на эту тему - сделали патч - сделайте рассылку клиентам. Все клиенты получили соответстветствующее e-mail уведомление, рассылка была сделана. Если вам не пришло, поверяйте свою почту в своем профиле, чтобы она была корректно там указана. Цитата Ссылка на сообщение Поделиться на других сайтах
MSK 289 Опубликовано: 9 апреля 2017 Рассказать Опубликовано: 9 апреля 2017 Когда была сделана рассылка? Цитата Ссылка на сообщение Поделиться на других сайтах
celsoft 6 072 Опубликовано: 10 апреля 2017 Рассказать Опубликовано: 10 апреля 2017 22 часа назад, MSK сказал: Когда была сделана рассылка? В этот же день во вторник, как было дополнено. Примерно через час после этого сообщения на форуме. Цитата Ссылка на сообщение Поделиться на других сайтах
Рекомендованные сообщения
Присоединяйтесь к обсуждению
Вы можете опубликовать сообщение сейчас, а зарегистрироваться позже. Если у вас есть аккаунт, войдите в него для написания от своего имени.