Главная страница / Найденные ошибки / Самодостаточные XSS атаки
сентябрь 24 2006

Самодостаточные XSS атаки

Проблема: Название самодостаточный XSS полностью объясняет тип атаки. Эта атака не требует наличия XSS уязвимости в web приложении. Все, что требуется для ее проведения содержится в одном URL. После выполнения URL ресурс будет автоматически ассемблирован.

Ошибка в версии: Все версии ниже 5.0

Степень опасности: Высокая

Внимание обратите внимание что это новый тип атак, и на данный момент уязвимо большинство различных скриптов, поэтому обращайте внимание на все ссылки, которые вы нажимаете. На данный момент данной уязвимости подвержены броузеры Opera и FireFox, IE в данном вопросе неуязвим. Более подробно о данном типе атак вы можете прочитать на http://www.securitylab.ru/analytics/274302.php.

Для блокирования данной уязвимости для версии 4.5 скачайте прикрепленный архив и замените файл /engine/inc/parse.class.php на файл из архива.

Скачать: У вас нет доступа к скачиванию файлов с нашего сервера

Ручное исправление:

Внимание!

Просмотр данной информации доступен только пользователям имеющим действующую лицензию на скрипт. Если вы уже приобретали скрипт, то вам необходимо зайти на сайт под своим клиентским аккаунтом. Если срок вашей лицензии истек, то вы можете продлить ее в своем профиле на нашем сайте


Дистрибутив для клиентов был обновлен.

Комментарии

  1. Zdraff (Клиенты)

    24 сентября 2006 21:49 67 комментариев
    Есть
  2. Link (Клиенты)

    24 сентября 2006 21:52 9 комментариев
    Оперативно!! wink
  3. Nitro (Клиенты)

    24 сентября 2006 22:19 12 комментариев
    Бред какой-то, причём тут двиг или скрипт по сути? Тут уже ошибка архитектуры url передаваемого для обработки браузеру.
    Цитата: www.securitylab.ru

    Воздействие самодостаточного XSS на много больше, чем можно себе представить. Эта технология позволяет создавать исполняемые файлы с помощью JavaScript. JavaScript теперь могут создавать DOC или PDF файлы, содержащие злонамеренный код и эксплуатирующие переполнения буфера в уязвимых приложениях.

    JavaScript по вашему выполняется на сервере??? wink
  4. celsoft (Администраторы)

    24 сентября 2006 23:20 4 132 комментария
    Цитата: Nitro
    JavaScript по вашему выполняется на сервере???

    Цитата: Nitro
    Бред какой-то, причём тут двиг или скрипт по сути? Тут уже ошибка архитектуры url передаваемого для обработки браузеру.

    А ты считаешь что по твоему Javascript неначто не способен, Лиса отдаст твои куки и даже не спросит, хотел ли ты этого или нет. Достаточно послать тебе на проверку новости нужный код, и как следствие выполнить на твоем комьютере любой код, основанный на найденных уязвимостях различных приложений.

    И вот пока данная уязвимость не закрыта со стороны браузеров, я предпочитаю позаботится о безопасности клиентов со стороны скрипта.
  5. kost (Клиенты)

    25 сентября 2006 01:30 33 комментария
    Псиб!
  6. H01mes (Посетители)

    25 сентября 2006 07:33 11 комментариев
    Nitro
    Полностью поддерживаю celsoft'a

    Заботясь о криенте заботится и о своей разработки
    для жумлы к примеру заплатку еще не выпустили...
    хотя достаточно быстро обновляется.........
    и устойчива в вопросе безопасности...

  7. sergeant Raven (Клиенты)

    25 сентября 2006 18:23 26 комментариев
    спасибо обновил...
  8. Nitro (Клиенты)

    25 сентября 2006 22:57 12 комментариев
    celsoft,
    Злой ты smile , и непонял меня smile , я имел ввиду, что данная "уязвимость" не присутствует в php скриптах как код... надеюсь теперь ясно выразился.
  9. baka (Посетители)

    26 сентября 2006 12:25 10 комментариев
    Пасибо! wink
  10. Hrist (Клиенты)

    26 сентября 2006 12:27 25 комментариев
    седня хакнули какието турки мой сайт... заменили Index.php
  11. Akela (Клиенты)

    26 сентября 2006 14:42 34 комментария
    Цитата: Hrist
    седня хакнули какието турки мой сайт... заменили Index.php

    А ты пропэтчил сайт или нет ?
  12. celsoft (Администраторы)

    26 сентября 2006 14:59 4 132 комментария
    Цитата: Nitro
    Злой ты , и непонял меня , я имел ввиду, что данная "уязвимость" не присутствует в php скриптах как код... надеюсь теперь ясно выразился.

    Вот именно, в этом и состоит вся опасность данного кода
  13. nollopa (Посетители)

    27 сентября 2006 00:34 3 комментария
    Очень приятно работать,спасибо за обновления.
  14. Far (Клиенты)

    27 сентября 2006 04:04 8 комментариев
    Ещё раз спасиб, очень приятно работать спору нет! Спасибо celsoft!
  15. Link (Клиенты)

    27 сентября 2006 04:20 9 комментариев
    Самое главное -вовремя выявить багу! А разработчик (Celsoft) все быстренько подправит! wink
  16. lazutchik (Клиенты)

    27 сентября 2006 08:50 12 комментариев
    Хорошо сработано :)
  17. stud_muffler (Клиенты)

    27 сентября 2006 20:52 4 комментария
    Как починить версию 2.7? wassat

  18. Paralit (Клиенты)

    27 сентября 2006 21:51 3 комментария
    Спасибо!
  19. GURU (Посетители)

    28 сентября 2006 10:53 20 комментариев
    Я куплю DLE 5.0 wink
  20. exet (Клиенты)

    1 октября 2006 14:43 43 комментария
    спасибо обновились. wink
  21. Hrist (Клиенты)

    2 октября 2006 09:09 25 комментариев
    Akela,
    Цитата: Akela
    А ты пропэтчил сайт или нет ?

    теперь да... ломанули 26го... вот и полез сюда смотреть - что да как...
  22. Z (Гости)

    5 октября 2006 09:30 0 комментариев
    Hrist, Вот и мой непропэтченый хакнули, походу те же турки :( Руки бы поотбивал...
  23. xoxma.ru (Клиенты)

    6 октября 2006 17:14 1 комментарий
    спасиб wink
  24. Mr 13 (Посетители)

    22 мая 2007 23:06 97 комментариев
    wink

Информация

Комментирование публикаций доступно только пользователям имеющим действующую лицензию на скрипт. Если вы уже приобретали скрипт, то вам необходимо зайти на сайт под своим клиентским аккаунтом.

Календарь

«    Декабрь 2024    »
ПнВтСрЧтПтСбВс
 1
2345678
9101112131415
16171819202122
23242526272829
3031 

Опрос на сайте

Совершаете ли вы покупки в интернет?