Главная страница / Найденные ошибки / Проведение атаки межсайтового скриптинга (XSS)
июнь 03 2010

Проведение атаки межсайтового скриптинга (XSS)

Проблема: При определенных условиях на сайт можно провести атаку XSS. Данными условиями является посещение авторизованным администратором, сайта злоумышленника, при этом использование администратором устаревшего браузера, что может привести к перехвату куков браузера.

Ошибка в версии: 7.x - 8.5

Степень опасности: Низкая

Для исправления скачайте и скопируйте на свой сервер патч: https://dle-news.ru/files/dle7_85_path.zip

Данный патч применим ко всем версиям: 7.x - 8.5

Дистрибутив версии 8.5 обновлен.

Комментарии

  1. Babai (Посетители)

    3 июня 2010 21:04 4 комментария
    Спасибо, обновился feel
  2. TopShaft (Посетители)

    3 июня 2010 23:10 3 комментария
    Thank you!
  3. DeeMon (Посетители)

    4 июня 2010 05:21 54 комментария
    Будем обновляться, блин только вчера вечером переставил систему...
  4. Pleomax (Посетители)

    4 июня 2010 07:29 15 комментариев
    Данными условиями является посещение авторизованным администратором, сайта злоумышленника, при этом использование администратором устаревшего браузера, что может привести к перехвату куков браузера.

    К данным условиям относится, например, посещение авторизованным администратором сайта злоумышленника при пользовании администратором устаревшего браузера, что может привести к перехвату cookies браузера.

    Спасибо. Обновился.
  5. voron10 (Посетители)

    6 июня 2010 16:30 1 комментарий
    Спасибо.
    Обновился. smile
  6. dropman (Посетители)

    6 июня 2010 21:50 1 комментарий
    Не очень понял в чем проблема, но обновился. Сэньк
  7. Electropunk (Клиенты)

    8 июня 2010 06:06 1 комментарий
    Для UTF-8 тоже нормально подходит?
  8. hawkeye (Посетители)

    8 июня 2010 06:23 4 комментария
    Для UTF-8 тоже нормально подходит?
    +1
  9. celsoft (Администраторы)

    8 июня 2010 10:25 4 132 комментария
    Цитата: Electropunk
    Для UTF-8 тоже нормально подходит?

    Да, конечно.
  10. bpv (Посетители)

    8 июня 2010 12:00 1 комментарий
    А какие конкретно файлы или папки нужно перезалить из нового дистрибутива, чтоб весь 8.5 не перезаливать?
  11. celsoft (Администраторы)

    8 июня 2010 12:05 4 132 комментария
    Цитата: bpv
    А какие конкретно файлы или папки нужно перезалить из нового дистрибутива, чтоб весь 8.5 не перезаливать?

    Патч скачивайте и из него заменяйте файлы. В этом патче не весь дистрибутив, а только нужные файлы.
  12. sbvasyl (Клиенты)

    8 июня 2010 12:29 19 комментариев
    Цитата: celsoft
    Для исправления скачайте и скопируйте на свой сервер патч ...


    Разархивировал файл... и папку engine закинул на сервер с заменой.

    Я правильно сделал? (извините за беспокойство - первый раз обновляюсь)
  13. celsoft (Администраторы)

    8 июня 2010 12:34 4 132 комментария
    Цитата: sbvasyl
    Разархивировал файл... и папку engine закинул на сервер с заменой.

    Я правильно сделал? (извините за беспокойство - первый раз обновляюсь)

    правильно.
  14. Firestoke (Клиенты)

    8 июня 2010 13:26 1 комментарий
    большое спасибо
  15. tudimon (Клиенты)

    8 июня 2010 15:13 3 комментария
    спасибо, особенно за оповещение на мыло!
  16. Mr_Bishep (Клиенты)

    8 июня 2010 22:27 2 комментария
    Спасибо обновился. Огромное спасибо за уведомление на имэйл
  17. Sogorukuhn (Посетители)

    9 июня 2010 03:19 21 комментарий
    Цитата: Pleomax
    К данным условиям относится, например, посещение авторизованным администратором сайта злоумышленника при пользовании администратором устаревшего браузера, что может привести к перехвату cookies браузера.


    Уважающий себя админ сидит под линуксом и использует последнюю версию браузера из репозитории.

    Кстати. Кто не в курсях, во всех версиях флэш плеера была недавно тоже найдена уязвимость. Производитель советует всем (да, даже на линуксе) поставить последний rc.
    Думайте о безопастности товарищи! wink
  18. freeswap (Клиенты)

    12 июня 2010 05:56 12 комментариев
    Цитата: Sogorukuhn
    Уважающий себя админ сидит под линуксом и использует последнюю версию браузера из репозитории.


    +1024 :)
  19. mr-schurik (Клиенты)

    6 октября 2010 23:54 3 комментария
    zdrastvujte uvazhajmye kollegi i adminy,

    menya vsotaki zacepilo, tak kak ya ne delal obnavlenij.
    zavolsya na saite levyj admin pod nokom "wildlogin".

    chto ya paka nashol evo del ruk:
    otkryl dostup gostyam na komenty
    tam gde ispol'zuetsya java-skript vmesta slov vaprosy "" daze v adminke v "Мастер оптимизации базы данных"
    browsery neotkryvayut sait tak kak poiskoviki obnoruzhili neporyadok i narushenie.

    chto vy mne mozhete posavetovat'?
    chto i v kakom poryadke mne delat'?

    blogadary zaranee

  20. celsoft (Администраторы)

    7 октября 2010 10:10 4 132 комментария
    mr-schurik,
    Устанавливайте все патчи безопасности которые вышли ранее https://dle-news.ru/bags/ и которые вы не устанавливали. Меняйте все пароли, восстанавливайте шаблоны, если в них делались изменения.
  21. mr-schurik (Клиенты)

    9 октября 2010 15:39 3 комментария
    ya pereustanovil ves' dle, sdelal vse pachi i sajt proderzhalsya vsego 2 dnya. Segodnya snova tezhe samye oshibki i vzlom sajta. kak takoe vozmozhno? chtozhe delat'?
  22. celsoft (Администраторы)

    9 октября 2010 23:52 4 132 комментария
    mr-schurik,
    Значит что то вы не удалили или не до установили, отправляйте запрос в службу поддержки https://dle-news.ru/index.php?do=feedback предоставляйте доступ по FTP и к админпанели скрипта, чтобы ваш сервер проверили.

Информация

Возможность комментирования данной публикации было отключена.

Календарь

«    Декабрь 2024    »
ПнВтСрЧтПтСбВс
 1
2345678
9101112131415
16171819202122
23242526272829
3031 

Опрос на сайте

Совершаете ли вы покупки в интернет?