/ / / Самодостаточные XSS атаки
сентябрь 24 2006

Самодостаточные XSS атаки

Проблема: Название самодостаточный XSS полностью объясняет тип атаки. Эта атака не требует наличия XSS уязвимости в web приложении. Все, что требуется для ее проведения содержится в одном URL. После выполнения URL ресурс будет автоматически ассемблирован.

Ошибка в версии: Все версии ниже 5.0

Степень опасности: Высокая

Внимание обратите внимание что это новый тип атак, и на данный момент уязвимо большинство различных скриптов, поэтому обращайте внимание на все ссылки, которые вы нажимаете. На данный момент данной уязвимости подвержены броузеры Opera и FireFox, IE в данном вопросе неуязвим. Более подробно о данном типе атак вы можете прочитать на http://www.securitylab.ru/analytics/274302.php.

Для блокирования данной уязвимости для версии 4.5 скачайте прикрепленный архив и замените файл /engine/inc/parse.class.php на файл из архива.

Скачать: У вас нет доступа к скачиванию файлов с нашего сервера

Ручное исправление:
Внимание! Просмотр данной информации доступен только пользователям имеющим лицензию на скрипт. Если вы уже приобретали скрипт, то вам необходимо зайти на сайт под своим клиентским аккаунтом.


Дистрибутив для клиентов был обновлен.

Комментарии

Zdraff

Zdraff

24 сентября 2006 21:49 Клиенты
0
Есть
Link

Link

24 сентября 2006 21:52 Клиенты
0
Оперативно!! wink
Nitro

Nitro

24 сентября 2006 22:19 Клиенты
0
Бред какой-то, причём тут двиг или скрипт по сути? Тут уже ошибка архитектуры url передаваемого для обработки браузеру.
Цитата: www.securitylab.ru

Воздействие самодостаточного XSS на много больше, чем можно себе представить. Эта технология позволяет создавать исполняемые файлы с помощью JavaScript. JavaScript теперь могут создавать DOC или PDF файлы, содержащие злонамеренный код и эксплуатирующие переполнения буфера в уязвимых приложениях.

JavaScript по вашему выполняется на сервере??? wink
celsoft

celsoft

24 сентября 2006 23:20 Администраторы
0
Цитата: Nitro
JavaScript по вашему выполняется на сервере???

Цитата: Nitro
Бред какой-то, причём тут двиг или скрипт по сути? Тут уже ошибка архитектуры url передаваемого для обработки браузеру.

А ты считаешь что по твоему Javascript неначто не способен, Лиса отдаст твои куки и даже не спросит, хотел ли ты этого или нет. Достаточно послать тебе на проверку новости нужный код, и как следствие выполнить на твоем комьютере любой код, основанный на найденных уязвимостях различных приложений.

И вот пока данная уязвимость не закрыта со стороны браузеров, я предпочитаю позаботится о безопасности клиентов со стороны скрипта.
kost

kost

25 сентября 2006 01:30 Клиенты
0
Псиб!
H01mes

H01mes

25 сентября 2006 07:33 Клиенты
0
Nitro
Полностью поддерживаю celsoft'a

Заботясь о криенте заботится и о своей разработки
для жумлы к примеру заплатку еще не выпустили...
хотя достаточно быстро обновляется.........
и устойчива в вопросе безопасности...

sergeant Raven

sergeant Raven

25 сентября 2006 18:23 Клиенты
0
спасибо обновил...
Nitro

Nitro

25 сентября 2006 22:57 Клиенты
0
celsoft,
Злой ты smile , и непонял меня smile , я имел ввиду, что данная "уязвимость" не присутствует в php скриптах как код... надеюсь теперь ясно выразился.
baka

baka

26 сентября 2006 12:25 Посетители
0
Пасибо! wink
Hrist

Hrist

26 сентября 2006 12:27 Клиенты
0
седня хакнули какието турки мой сайт... заменили Index.php
Akela

Akela

26 сентября 2006 14:42 Клиенты
0
Цитата: Hrist
седня хакнули какието турки мой сайт... заменили Index.php

А ты пропэтчил сайт или нет ?
celsoft

celsoft

26 сентября 2006 14:59 Администраторы
0
Цитата: Nitro
Злой ты , и непонял меня , я имел ввиду, что данная "уязвимость" не присутствует в php скриптах как код... надеюсь теперь ясно выразился.

Вот именно, в этом и состоит вся опасность данного кода
nollopa

nollopa

27 сентября 2006 00:34 Посетители
0
Очень приятно работать,спасибо за обновления.
Far

Far

27 сентября 2006 04:04 Клиенты
0
Ещё раз спасиб, очень приятно работать спору нет! Спасибо celsoft!
Link

Link

27 сентября 2006 04:20 Клиенты
0
Самое главное -вовремя выявить багу! А разработчик (Celsoft) все быстренько подправит! wink
lazutchik

lazutchik

27 сентября 2006 08:50 Клиенты
0
Хорошо сработано :)
stud_muffler

stud_muffler

27 сентября 2006 20:52 Клиенты
0
Как починить версию 2.7? wassat

Paralit

Paralit

27 сентября 2006 21:51 Клиенты
0
Спасибо!
GURU

GURU

28 сентября 2006 10:53 Посетители
0
Я куплю DLE 5.0 wink
exet

exet

1 октября 2006 14:43 Клиенты
0
спасибо обновились. wink
Hrist

Hrist

2 октября 2006 09:09 Клиенты
0
Akela,
Цитата: Akela
А ты пропэтчил сайт или нет ?

теперь да... ломанули 26го... вот и полез сюда смотреть - что да как...
Z

Z

5 октября 2006 09:30 Гости
0
Hrist, Вот и мой непропэтченый хакнули, походу те же турки :( Руки бы поотбивал...
xoxma.ru

xoxma.ru

6 октября 2006 17:14 Клиенты
0
спасиб wink
Mr 13

Mr 13

22 мая 2007 23:06 Посетители
0
wink

Информация

Посетители, находящиеся в группе Гости, не могут оставлять комментарии к данной публикации.
Календарь
«    Октябрь 2017    »
ПнВтСрЧтПтСбВс
 1
2345678
9101112131415
16171819202122
23242526272829
3031 
Опрос на сайте
Совершаете ли вы покупки в интернет?

Популярные новости
Архив новостей
Сентябрь 2017 (2)
Август 2017 (5)
Июль 2017 (1)
Июнь 2017 (1)
Апрель 2017 (3)
Март 2017 (2)