Самодостаточные XSS атаки

Язык
Русский English

Главная страница / Найденные ошибки / Самодостаточные XSS атаки

Проблема: Название самодостаточный XSS полностью объясняет тип атаки. Эта атака не требует наличия XSS уязвимости в web приложении. Все, что требуется для ее проведения содержится в одном URL. После выполнения URL ресурс будет автоматически ассемблирован.

Ошибка в версии: Все версии ниже 5.0

Степень опасности: Высокая

Внимание обратите внимание что это новый тип атак, и на данный момент уязвимо большинство различных скриптов, поэтому обращайте внимание на все ссылки, которые вы нажимаете. На данный момент данной уязвимости подвержены броузеры Opera и FireFox, IE в данном вопросе неуязвим. Более подробно о данном типе атак вы можете прочитать на http://www.securitylab.ru/analytics/274302.php.

Для блокирования данной уязвимости для версии 4.5 скачайте прикрепленный архив и замените файл /engine/inc/parse.class.php на файл из архива.

Скачать: У вас нет доступа к скачиванию файлов с нашего сервера

Ручное исправление:

Внимание!

Просмотр данной информации доступен только пользователям имеющим действующую лицензию на скрипт. Если вы уже приобретали скрипт, то вам необходимо зайти на сайт под своим клиентским аккаунтом. Если срок вашей лицензии истек, то вы можете продлить ее в своем профиле на нашем сайте

Дистрибутив для клиентов был обновлен.

Zdraff (Клиенты)
24 сентября 2006 21:49 67 комментариев

Есть
Link (Клиенты)
24 сентября 2006 21:52 9 комментариев

Оперативно!!
Nitro (Клиенты)
24 сентября 2006 22:19 12 комментариев

Бред какой-то, причём тут двиг или скрипт по сути? Тут уже ошибка архитектуры url передаваемого для обработки браузеру.
Цитата: www.securitylab.ru

Воздействие самодостаточного XSS на много больше, чем можно себе представить. Эта технология позволяет создавать исполняемые файлы с помощью JavaScript. JavaScript теперь могут создавать DOC или PDF файлы, содержащие злонамеренный код и эксплуатирующие переполнения буфера в уязвимых приложениях.

JavaScript по вашему выполняется на сервере???
celsoft (Администраторы)
24 сентября 2006 23:20 4 137 комментариев

Цитата: Nitro
JavaScript по вашему выполняется на сервере???

Цитата: Nitro
Бред какой-то, причём тут двиг или скрипт по сути? Тут уже ошибка архитектуры url передаваемого для обработки браузеру.

А ты считаешь что по твоему Javascript неначто не способен, Лиса отдаст твои куки и даже не спросит, хотел ли ты этого или нет. Достаточно послать тебе на проверку новости нужный код, и как следствие выполнить на твоем комьютере любой код, основанный на найденных уязвимостях различных приложений.

И вот пока данная уязвимость не закрыта со стороны браузеров, я предпочитаю позаботится о безопасности клиентов со стороны скрипта.
kost (Клиенты)
25 сентября 2006 01:30 33 комментария

Псиб!
H01mes (Посетители)
25 сентября 2006 07:33 11 комментариев

Nitro
Полностью поддерживаю celsoft'a

Заботясь о криенте заботится и о своей разработки
для жумлы к примеру заплатку еще не выпустили...
хотя достаточно быстро обновляется.........
и устойчива в вопросе безопасности...
sergeant Raven (Клиенты)
25 сентября 2006 18:23 26 комментариев

спасибо обновил...
Nitro (Клиенты)
25 сентября 2006 22:57 12 комментариев

celsoft,
Злой ты , и непонял меня , я имел ввиду, что данная "уязвимость" не присутствует в php скриптах как код... надеюсь теперь ясно выразился.
baka (Посетители)
26 сентября 2006 12:25 10 комментариев

Пасибо!
Hrist (Клиенты)
26 сентября 2006 12:27 25 комментариев

седня хакнули какието турки мой сайт... заменили Index.php
Akela (Клиенты)
26 сентября 2006 14:42 34 комментария

Цитата: Hrist
седня хакнули какието турки мой сайт... заменили Index.php

А ты пропэтчил сайт или нет ?
celsoft (Администраторы)
26 сентября 2006 14:59 4 137 комментариев

Цитата: Nitro
Злой ты , и непонял меня , я имел ввиду, что данная "уязвимость" не присутствует в php скриптах как код... надеюсь теперь ясно выразился.

Вот именно, в этом и состоит вся опасность данного кода
nollopa (Посетители)
27 сентября 2006 00:34 3 комментария

Очень приятно работать,спасибо за обновления.
Far (Клиенты)
27 сентября 2006 04:04 8 комментариев

Ещё раз спасиб, очень приятно работать спору нет! Спасибо celsoft!
Link (Клиенты)
27 сентября 2006 04:20 9 комментариев

Самое главное -вовремя выявить багу! А разработчик (Celsoft) все быстренько подправит!
lazutchik (Клиенты)
27 сентября 2006 08:50 12 комментариев

Хорошо сработано :)
stud_muffler (Клиенты)
27 сентября 2006 20:52 4 комментария

Как починить версию 2.7?
Paralit (Клиенты)
27 сентября 2006 21:51 3 комментария

Спасибо!
GURU (Посетители)
28 сентября 2006 10:53 20 комментариев

Я куплю DLE 5.0
exet (Клиенты)
1 октября 2006 14:43 43 комментария

спасибо обновились.
Hrist (Клиенты)
2 октября 2006 09:09 25 комментариев

Akela,
Цитата: Akela
А ты пропэтчил сайт или нет ?

теперь да... ломанули 26го... вот и полез сюда смотреть - что да как...
Z (Гости)
5 октября 2006 09:30 0 комментариев

Hrist, Вот и мой непропэтченый хакнули, походу те же турки :( Руки бы поотбивал...
xoxma.ru (Клиенты)
6 октября 2006 17:14 1 комментарий

спасиб
Mr 13 (Посетители)
22 мая 2007 23:06 97 комментариев

Информация

Комментирование публикаций доступно только пользователям имеющим действующую лицензию на скрипт. Если вы уже приобретали скрипт, то вам необходимо зайти на сайт под своим клиентским аккаунтом.

Разделы

Календарь

« Ноябрь 2024 »
Пн	Вт	Ср	Чт	Пт	Сб	Вс
	1	2	3
4	5	6	7	8	9	10
11	12	13	14	15	16	17
18	19	20	21	22	23	24
25	26	27	28	29	30

Опрос на сайте

Совершаете ли вы покупки в интернет?

Облако тегов

Внимание!

Комментарии

Zdraff (Клиенты)

Link (Клиенты)

Nitro (Клиенты)

celsoft (Администраторы)

kost (Клиенты)

H01mes (Посетители)

sergeant Raven (Клиенты)

Nitro (Клиенты)

baka (Посетители)

Hrist (Клиенты)

Akela (Клиенты)

celsoft (Администраторы)

nollopa (Посетители)

Far (Клиенты)

Link (Клиенты)

lazutchik (Клиенты)

stud_muffler (Клиенты)

Paralit (Клиенты)

GURU (Посетители)

exet (Клиенты)

Hrist (Клиенты)

Z (Гости)

xoxma.ru (Клиенты)

Mr 13 (Посетители)