Проведение атаки межсайтового скриптинга (XSS)

Главная страница / Найденные ошибки / Проведение атаки межсайтового скриптинга (XSS)

Проблема: При определенных условиях на сайт можно провести атаку XSS. Данными условиями является посещение авторизованным администратором, сайта злоумышленника, при этом использование администратором устаревшего браузера, что может привести к перехвату куков браузера.

Ошибка в версии: 7.x - 8.5

Степень опасности: Низкая

Для исправления скачайте и скопируйте на свой сервер патч: https://dle-news.ru/files/dle7_85_path.zip

Данный патч применим ко всем версиям: 7.x - 8.5

Дистрибутив версии 8.5 обновлен.

Babai (Посетители)
3 июня 2010 21:04 4 комментария

Спасибо, обновился
TopShaft (Посетители)
3 июня 2010 23:10 3 комментария

Thank you!
DeeMon (Посетители)
4 июня 2010 05:21 54 комментария

Будем обновляться, блин только вчера вечером переставил систему...
Pleomax (Посетители)
4 июня 2010 07:29 15 комментариев

Данными условиями является посещение авторизованным администратором, сайта злоумышленника, при этом использование администратором устаревшего браузера, что может привести к перехвату куков браузера.

К данным условиям относится, например, посещение авторизованным администратором сайта злоумышленника при пользовании администратором устаревшего браузера, что может привести к перехвату cookies браузера.

Спасибо. Обновился.
voron10 (Посетители)
6 июня 2010 16:30 1 комментарий

Спасибо.
Обновился.
dropman (Посетители)
6 июня 2010 21:50 1 комментарий

Не очень понял в чем проблема, но обновился. Сэньк
Electropunk (Клиенты)
8 июня 2010 06:06 1 комментарий

Для UTF-8 тоже нормально подходит?
hawkeye (Посетители)
8 июня 2010 06:23 4 комментария

Для UTF-8 тоже нормально подходит?
+1
celsoft (Администраторы)
8 июня 2010 10:25 4 136 комментариев

Цитата: Electropunk
Для UTF-8 тоже нормально подходит?

Да, конечно.
bpv (Посетители)
8 июня 2010 12:00 1 комментарий

А какие конкретно файлы или папки нужно перезалить из нового дистрибутива, чтоб весь 8.5 не перезаливать?
celsoft (Администраторы)
8 июня 2010 12:05 4 136 комментариев

Цитата: bpv
А какие конкретно файлы или папки нужно перезалить из нового дистрибутива, чтоб весь 8.5 не перезаливать?

Патч скачивайте и из него заменяйте файлы. В этом патче не весь дистрибутив, а только нужные файлы.
sbvasyl (Клиенты)
8 июня 2010 12:29 19 комментариев

Цитата: celsoft
Для исправления скачайте и скопируйте на свой сервер патч ...

Разархивировал файл... и папку engine закинул на сервер с заменой.

Я правильно сделал? (извините за беспокойство - первый раз обновляюсь)
celsoft (Администраторы)
8 июня 2010 12:34 4 136 комментариев

Цитата: sbvasyl
Разархивировал файл... и папку engine закинул на сервер с заменой.

Я правильно сделал? (извините за беспокойство - первый раз обновляюсь)

правильно.
Firestoke (Клиенты)
8 июня 2010 13:26 1 комментарий

большое спасибо
tudimon (Клиенты)
8 июня 2010 15:13 3 комментария

спасибо, особенно за оповещение на мыло!
Mr_Bishep (Клиенты)
8 июня 2010 22:27 2 комментария

Спасибо обновился. Огромное спасибо за уведомление на имэйл
Sogorukuhn (Посетители)
9 июня 2010 03:19 21 комментарий

Цитата: Pleomax
К данным условиям относится, например, посещение авторизованным администратором сайта злоумышленника при пользовании администратором устаревшего браузера, что может привести к перехвату cookies браузера.

Уважающий себя админ сидит под линуксом и использует последнюю версию браузера из репозитории.

Кстати. Кто не в курсях, во всех версиях флэш плеера была недавно тоже найдена уязвимость. Производитель советует всем (да, даже на линуксе) поставить последний rc.
Думайте о безопастности товарищи!
freeswap (Клиенты)
12 июня 2010 05:56 12 комментариев

Цитата: Sogorukuhn
Уважающий себя админ сидит под линуксом и использует последнюю версию браузера из репозитории.

+1024 :)
mr-schurik (Клиенты)
6 октября 2010 23:54 3 комментария

zdrastvujte uvazhajmye kollegi i adminy,

menya vsotaki zacepilo, tak kak ya ne delal obnavlenij.
zavolsya na saite levyj admin pod nokom "wildlogin".

chto ya paka nashol evo del ruk:
otkryl dostup gostyam na komenty
tam gde ispol'zuetsya java-skript vmesta slov vaprosy "" daze v adminke v "Мастер оптимизации базы данных"
browsery neotkryvayut sait tak kak poiskoviki obnoruzhili neporyadok i narushenie.

chto vy mne mozhete posavetovat'?
chto i v kakom poryadke mne delat'?

blogadary zaranee
celsoft (Администраторы)
7 октября 2010 10:10 4 136 комментариев

mr-schurik,
Устанавливайте все патчи безопасности которые вышли ранее https://dle-news.ru/bags/ и которые вы не устанавливали. Меняйте все пароли, восстанавливайте шаблоны, если в них делались изменения.
mr-schurik (Клиенты)
9 октября 2010 15:39 3 комментария

ya pereustanovil ves' dle, sdelal vse pachi i sajt proderzhalsya vsego 2 dnya. Segodnya snova tezhe samye oshibki i vzlom sajta. kak takoe vozmozhno? chtozhe delat'?
celsoft (Администраторы)
9 октября 2010 23:52 4 136 комментариев

mr-schurik,
Значит что то вы не удалили или не до установили, отправляйте запрос в службу поддержки https://dle-news.ru/index.php?do=feedback предоставляйте доступ по FTP и к админпанели скрипта, чтобы ваш сервер проверили.

Информация

Возможность комментирования данной публикации было отключена.

Комментарии

Babai (Посетители)

TopShaft (Посетители)

DeeMon (Посетители)

Pleomax (Посетители)

voron10 (Посетители)

dropman (Посетители)

Electropunk (Клиенты)

hawkeye (Посетители)

celsoft (Администраторы)

bpv (Посетители)

celsoft (Администраторы)

sbvasyl (Клиенты)

celsoft (Администраторы)

Firestoke (Клиенты)

tudimon (Клиенты)

Mr_Bishep (Клиенты)

Sogorukuhn (Посетители)

freeswap (Клиенты)

mr-schurik (Клиенты)

celsoft (Администраторы)

mr-schurik (Клиенты)

celsoft (Администраторы)

Информация

Разделы

Календарь

Опрос на сайте

Совершаете ли вы покупки в интернет?

Облако тегов

Популярное

« Ноябрь 2024 »
Пн	Вт	Ср	Чт	Пт	Сб	Вс
				1	2	3
4	5	6	7	8	9	10
11	12	13	14	15	16	17
18	19	20	21	22	23	24
25	26	27	28	29	30

Авторизация на сайте

Регистрация на сайте