#46
19 мая 2012 в 06:35
PrimHunter, тебе будет урок, как ломать мою подругу, и не надо отпираться только)
#47
19 мая 2012 в 06:38
PrimHunter, тебе будет урок, как ломать мою подругу, и не надо отпираться только)
Дурачок неразумный. Головой подумай — если б я умел кого-то ломать — я б здесь сейчас не спрашивал как же меня сломали, а сам бы разобрался. У меня други цели и задачи в жизни, нежели ломать кого-то.
#48
19 мая 2012 в 06:39
PrimHunter, ну ну)) эту уязвимость ты не знаешь, вот и пришел суда) я тебя везде найду)
Сегодня в 20:25
#49
19 мая 2012 в 07:18
Ну вот собственно и красавчик-ломальщик собственной персоной — сообщение №32 вот тут: instantcms.ru/forum/thread9731-3.html ВНИМАНИЕ, при переходе по этой ссылке вы будете разлогинены
Перешел залогиным, все нормально… А что могло быть?
#50
19 мая 2012 в 07:32
там два куска: первый демонстрирует легкость внедрения xss, второй кусок — вызывает страницу logout, т.е. как будто вы нажали на ссылку "выйти".
#51
19 мая 2012 в 08:20
хм… и неужели это не побороть?
#52
19 мая 2012 в 10:03
А сработает интересно если например выхватить в тексте перед его записью в базу теги
Если да, то нужно регулярку написать нужную и все…
иBODY ONLOAD
и удалить?<EMBED SRC=
Если да, то нужно регулярку написать нужную и все…
#53
19 мая 2012 в 10:06
А сработает интересно если например выхватить в тексте перед его записью в базу тегииBODY ONLOAD
я не профессионал в пхп и безопасности, думаю что сработает, но решение половинчатое. Кроме того, embed так-то нужный тег, к примеру видео вставлять или еще чего… так что надо как-то по другому.
#54
19 мая 2012 в 10:18
что разве так сложно убрать уязвимость с XSS?
#55
19 мая 2012 в 10:35
Артем, если вы действительно нашли уязвимости и вам не ответили админы то почему вы о них здесь на форуме не опубликовали или в багтрекер не добавили?
Если все что вы говорили не бла-бла-бла то ждем ваших публикаций на форуме или в блоге.
Если все что вы говорили не бла-бла-бла то ждем ваших публикаций на форуме или в блоге.
#56
19 мая 2012 в 11:06
С какой стати люди делятся хаками ..., помогают вам, мне, ....?Если админы и вправду проигнорировали, то с какой стати он должен тратить свое время публиковать в блоге, форуме? ))
Есть багтрекер, можно туда добавить., Может админы на этот форум зазодят раз в год, да мало ли причин может быть.
#57
19 мая 2012 в 11:24
ну тогда зачем он здесь на форуме, пальцы веером...., типа я крутой хакер всем вам жару задам, зашел постращать и застращал не админов а народ. Как то логики не вижу, раз пришел, рассказал, значит готов откликнутся на просьбы людей не занимающихся профессионально программированием. Хотел бы что-то сделать мог бы молча этот сайт поломать, а раз известил всех о уязвимости будь добр помоги ее устранить.
#58
19 мая 2012 в 11:37
Как то я думал всегда что на форуме инстанта люди которые используют инстант и помогают друг другу в решении проблем, на форуме joomla тоже самое, а зайти сюда поболтать просто както по моему не то место.
Артем, trac.instantcms.ru/newticket
Артем, trac.instantcms.ru/newticket
#59
19 мая 2012 в 11:40
А смысл? — обратить на себя внимание?.. Хотя смысл есть почти во всем...Хотел бы что-то сделать мог бы молча этот сайт поломать, а раз известил всех о уязвимости будь добр помоги ее устранить.
Вспоминается один пользователь, тоже хотел "помочь", получилось — помогал "закрыть" не значительные уязвимости, искал в обсуждениях нечто по серьезней, потом пошли "разработки" с вшитым кодом (назначения разные — сбор и отправка "хозяину" паролей от админки и данные сервера, и т.д.)…
Лучше и не придумать идеи как выкладывать уязвимости в форуме. Инструкцию по использованию ещё надо (только так подробненько чтобы всем понятно было как воспользоваться) 
Лучше спасибо сказали что не выкладывает.
Жаль админы о теме не выскажутся…
Лучше спасибо сказали что не выкладывает.
Жаль админы о теме не выскажутся…