• Обратная связь: [email protected]

    Наш канал в telegram: https://t.me/ru_sfera

    Группа VK: https://vk.com/rusfera

    Пользователи могут писать на форуме ТОЛЬКО ЧЕРЕЗ 7 ДНЕЙ после регистрации

Пример ОЧЕНЬ опасной уязвимости на CMS


X-Shar

:)
Администрация
Регистрация
03.06.2012
Сообщения
6 202
Репутация
8 335
Так что ли или не так?Но ведь исполнение сторонних скриптов у тебя отключено?
Тут всё и просто и сложно !

Отключены (Я надеюсь !Отдыхай!!! ) исполнение скриптов во вложениях, т.е. если залить сюда скрипт переменованный в картинку, его никак не исполнить, только если сервак ломать !

Но существуют уязвимости как в движках, так и на серверном ПО, пример здесь продемонстрирован...

Проблема в том, что тег картинок не фильтрует эти самые картинки, т.е. может загрузить и исполнить скрипт, тот-же пример со сниферами, где вообще отсылался php файл !Dmeh-Smeh-Smeh!!!

Сейчас-же этот тег вообще заблокирован на уровне движка, в остальных BB-Code есть жёсткая привязка и фильтрация к доменам !Думки думаю!!!
 
B

BioNIX

Гость
X-Shar, Я в каких то коментах говорил об этом, никто не слушал и говорил что этого быть не может, указывал на многое чего но прошло примерно месяц, но Антоха сам дошел до этого и ткнул, что это уязвимость, ну исследуйте далее, потом что то выскажу по другому поводу в дальнейшем и надеюсь тоже будут отрицания что это невозможно Dmeh-Smeh-Smeh!!! , я этот вирь выкладывал и о нем говорил на скрине именно такой вариант виря и указан, просто точно не помню, по моему где то как внедрить вирус в картинку.Dmeh-Smeh-Smeh!!!
 

X-Shar

:)
Администрация
Регистрация
03.06.2012
Сообщения
6 202
Репутация
8 335
Василий, так хорошо, что это нашёл Антоха, а не какой-нибудь кул-хацкер и начил-бы кормить троянами всех здесь, гы-гы !ohmy88
 
B

BioNIX

Гость
X-Shar, внедрение вируса в картинке я конкретно указал тип вируса и конкретно написал, этому никто не принял значение. Но хорошо что дошли все таки сами.
 

X-Shar

:)
Администрация
Регистрация
03.06.2012
Сообщения
6 202
Репутация
8 335
X-Shar, внедрение вируса в картинке я конкретно указал тип вируса и конкретно написал, этому никто не принял значение. Но хорошо что дошли все таки сами.
Так надо-было форум взломать, как Антоха, я-же не думал, что в этоге всё до такого дойдёт...

Хорошо что всё хорошо кончается !sm582398247 sm3888
 
B

BioNIX

Гость
Я пока не могу заблокировать это в Мозиле.
2014-02-28_19-36-30.jpg
 

X-Shar

:)
Администрация
Регистрация
03.06.2012
Сообщения
6 202
Репутация
8 335

Антоха

Уважаемый пользователь
Форумчанин
Регистрация
26.12.2012
Сообщения
2 780
Репутация
4 653

Антоха

Уважаемый пользователь
Форумчанин
Регистрация
26.12.2012
Сообщения
2 780
Репутация
4 653
Я пока не могу заблокировать это в Мозиле.
Я специально сюда залил,думаю посмотрю,будут ли вопросы как заблокировать:)Она безопасная совершенно.А сейчас если у кого и был свой сниф,то он уже не работает.Кстати я задал вопрос на ачате как передать реферер с https на http.Пока никто ничего вразумительного не сказал.
 
Верх Низ