VianGold2 0 Опубликовано: 30 марта 2017 Рассказать Опубликовано: 30 марта 2017 Шарил по интернету и наткнулся на XSS в dle. судя по тексту, автор пишет что подвержены все версии. Ссылка на описание: скрыта Ссылка на сообщение Поделиться на других сайтах
celsoft 6242 Опубликовано: 30 марта 2017 Рассказать Опубликовано: 30 марта 2017 Текст невозможно прочитать без регистрации и написания постов на форуме. Приводите текст опубликованный там, а не ссылки на форум который только что создан. Ссылка на сообщение Поделиться на других сайтах
VianGold2 0 Опубликовано: 30 марта 2017 Рассказать Опубликовано: 30 марта 2017 Автор 5 минут назад, celsoft сказал: Текст невозможно прочитать без регистрации и написания постов на форуме. Приводите текст опубликованный там, а не ссылки на форум который только что создан. Я сам наткнулся на инфу через гугл. И хотел уточнить поэтому может тут кто знает про это, и вообще опасно ли это. Ссылка на сообщение Поделиться на других сайтах
VianGold2 0 Опубликовано: 30 марта 2017 Рассказать Опубликовано: 30 марта 2017 (изменено) Автор 1 час назад, VianGold2 сказал: Я сам наткнулся на инфу через гугл. И хотел уточнить поэтому может тут кто знает про это, и вообще опасно ли это. По запросу "Dle 10.x 11.x post xss" в гугле находит. Вот и хочу выяснить опасно ли, просто я занимаюсь разработкой сайтов(стилей) в основном на dle. Не так давно была найдена критическая уязвимость, поэтому беспокоюсь. Изменено 30 марта 2017 пользователем VianGold2 Ссылка на сообщение Поделиться на других сайтах
germanydletest 458 Опубликовано: 30 марта 2017 Рассказать Опубликовано: 30 марта 2017 15 минут назад, VianGold2 сказал: Не так давно была найдена критическая уязвимость, поэтому беспокоюсь. она уже закрыта 1 Ссылка на сообщение Поделиться на других сайтах
VianGold2 0 Опубликовано: 30 марта 2017 Рассказать Опубликовано: 30 марта 2017 Автор 39 минут назад, germanydletest сказал: она уже закрыта Я в курсе что закрыта. Но я пишу совершенно про другую уязвимость про "Dle 9.x, 10.x 11.x post xss". И она похоже не закрыта. Ссылка на сообщение Поделиться на других сайтах
germanydletest 458 Опубликовано: 30 марта 2017 Рассказать Опубликовано: 30 марта 2017 55 минут назад, VianGold2 сказал: Но я пишу совершенно про другую уязвимость про "Dle 9.x, 10.x 11.x post xss". так предоставьте её или продемонстрируйте её работоспособность на оф.сайте http://demo.dle-news.ru/ к примеру и тогда её закроют. А то что гугл что-то там находит на пустом левом форуме, не факт, что там что-то вообще серьёзное 1 Ссылка на сообщение Поделиться на других сайтах
VianGold2 0 Опубликовано: 30 марта 2017 Рассказать Опубликовано: 30 марта 2017 (изменено) Автор 13 минуты назад, germanydletest сказал: так предоставьте её или продемонстрируйте её работоспособность на оф.сайте Я бы с радостью если бы у меня была бы такая возможность. Я надеялся что здесь специалисты оценят степень опасности этой уязвимости. Изменено 30 марта 2017 пользователем VianGold2 Ссылка на сообщение Поделиться на других сайтах
germanydletest 458 Опубликовано: 30 марта 2017 Рассказать Опубликовано: 30 марта 2017 51 минуту назад, VianGold2 сказал: специалисты оценят степень опасности этой уязвимости. так предоставьте эту уязвимость. 1 Ссылка на сообщение Поделиться на других сайтах
celsoft 6242 Опубликовано: 30 марта 2017 Рассказать Опубликовано: 30 марта 2017 В принципе ничего серьезного я там не увидел. Как либо навредить сайту не получится. Ссылка на сообщение Поделиться на других сайтах
VianGold2 0 Опубликовано: 4 апреля 2017 Рассказать Опубликовано: 4 апреля 2017 Автор Там уже даже подробную инструкцию по взлому выложили(касаемую Dle 9.x, 10.x 11.x post xss) Ссылка на сообщение Поделиться на других сайтах
celsoft 6242 Опубликовано: 4 апреля 2017 Рассказать Опубликовано: 4 апреля 2017 Теперь то я уж точно уверен. Что это ваш сайт. И вы его пиарите. Что мешало сразу написать здесь суть проблемы, а не скрывать на сайте на котором не единой регистрации и текст только под лайками от других пользователей. Странное поведение с вашей стороны. Но вот что действительно для меня стало неожиданностью, так это то что браузер выполнил отфильтрованный код. В коде javascript фильтруется на javascript и он не должен был выполниться как JS, а сработать как href. Что собственно раньше и было. Этот файл очень старый, фильтрация писалась очень давно, и проверялась на всех актуальных на тот момент браузерах, и она работала правильно. Видимо браузеры когда то незаметно поменяли логику своей работы. Вот это меня действительно удивило, об этом я не знал, поэтому когда и посмотрел на код, не принял его за какую либо серьезную проблему. Был дополнен патч безопасности https://dle-news.ru/bags/v112/1715-nedostatochnaya-filtraciya-dannyh.html 2 Ссылка на сообщение Поделиться на других сайтах
MSK 290 Опубликовано: 9 апреля 2017 Рассказать Опубликовано: 9 апреля 2017 В 04.04.2017 в 13:45, celsoft сказал: Был дополнен патч безопасности https://dle-news.ru/bags/v112/1715-nedostatochnaya-filtraciya-dannyh.html Ну вот, опять... Прошел МЕСЯЦ! после публикации патча, и теперь, в нем появляется дополнение. При этом, НЕТ никакой информации о том, что он изменился.... Кто в теме обсуждения на форуме - тот в курсе событий, остальные мало того, что НЕ ПОЛУЧАЮТ никаких уведомлений о появлении каких-либо патчей, так еще и остаются подвержены угрозам... Я писал уже на эту тему - сделали патч - сделайте рассылку клиентам. Почему такое отношение к нам? 1 Ссылка на сообщение Поделиться на других сайтах
celsoft 6242 Опубликовано: 9 апреля 2017 Рассказать Опубликовано: 9 апреля 2017 22 часа назад, MSK сказал: При этом, НЕТ никакой информации о том, что он изменился.... Я писал уже на эту тему - сделали патч - сделайте рассылку клиентам. Все клиенты получили соответстветствующее e-mail уведомление, рассылка была сделана. Если вам не пришло, поверяйте свою почту в своем профиле, чтобы она была корректно там указана. Ссылка на сообщение Поделиться на других сайтах
MSK 290 Опубликовано: 9 апреля 2017 Рассказать Опубликовано: 9 апреля 2017 Когда была сделана рассылка? Ссылка на сообщение Поделиться на других сайтах
celsoft 6242 Опубликовано: 10 апреля 2017 Рассказать Опубликовано: 10 апреля 2017 22 часа назад, MSK сказал: Когда была сделана рассылка? В этот же день во вторник, как было дополнено. Примерно через час после этого сообщения на форуме. Ссылка на сообщение Поделиться на других сайтах
Рекомендованные сообщения
Создайте аккаунт или войдите в него для комментирования
Вы должны быть пользователем, чтобы оставить комментарий
Создать аккаунт
Зарегистрируйтесь для получения аккаунта. Это просто!
Зарегистрировать аккаунтВойти
Уже зарегистрированы? Войдите здесь.
Войти сейчас