 |
Бесплатные PHP скрипты - форум техподдержки |
Форум техподдержки WR-Скриптов на php. Обсуждаем: основы программирования на PHP 5 - 7 версий, различные подходы к написанию скриптов на php 7 без MySQL. А также WR-скрипты: бесплатные доски объявлений, скрипты форумов, Гостевые книги, Каталог ссылок, Галерея, Фотоальбом, Счётчики, Рассылки, Анекдот и другие. Принимаются пожелания для новых версий. Сообщите какой скрипт нужен для Вашего сайта, постараемся найти или реализовать. Скачать скрипты можно бесплатно. Вместе мы сделаем бесплатные php скрипты лучше и доступнее!
|
| Сегодня: 20.04.2024 - 15:14:54
Страницы: 1 WR - Quickchat v. 1.1| Объявление - WR-Scriptы в UTF-8 кодировке |
|---|
Активно обновляю скрипты и перевожу их в UTF-8 кодировку. Список перекодированных php скриптов доступен на главной странице сайта. Скачивайте скрипты и устанавливайте на свой сайт! В ближайшее время обновлю каталог знакомств, форум Про, фотоальбом, доски объявлений лайт и ЛЮКС.
На форуме, пожалуйста, пишите что модернизировать в скриптах в первую очередь. Постараюсь исправить большую часть пожеланий!
Планирую продолжить работы весь 2023 год.
|
| Автор | Сообщение |
|---|
cyber •
C гость
|
Администратор!
WR - Quickchat v. 1.1
XSS уязвимость.
Поле "Имя" не фильтрует html теги.
| |
|
| Сообщение # 1 |
12.01.06 - 22:33:29
|  |
cyber •
C гость
|
Так что, уязвимость найденна как ни как...
Вопрос:
Почему не закрыта уязвимость + почему нету никаких офицальных объявлений.
P.S Кстати, уязвимость найженна мню, если хотите сотрудничать обращайтесь ICQ#: 4714772 | |
|
| Сообщение # 2 |
12.01.06 - 22:37:17
| |
midav •
M гость
|
 млин может мне наконец объяснят что это такая за уязвимость! Как я понял это тогда когда html не фильтруется! А как это проверить на деле?
| |
|
| Сообщение # 3 |
12.01.06 - 22:43:12
| |
cyber •
C гость
|
midav
К примеру в скрипте "WR - Quickchat v. 1.1", есть поля ввода данных (https://www.wr-script.ru/quickchat/add.php) Так вот, в поле "Имя" можно вводить любые html теги. То есть можно выделить текст как хочешь, вставить картинку и.т.п.
Так же можно использовать , для кражи ip адресов.
В данном случае стоит ограничение на символы в 30 знаков, поэтому cниффер не удастся запустить, (Не хватит места). Но всё же это считается уязвимостью.
WR
Ок. | |
|
| Сообщение # 4 |
13.01.06 - 07:45:49
|
|
midav •
M гость
|
cyber, и как я понял чтоб с этим бороться просто добавить $msg=htmlspecialchar($msg);
так походу не? | |
|
| Сообщение # 5 |
13.01.06 - 12:55:41
| |
cyber •
C гость
|
Да скорее всего...
Ещё лучше уменьшить количество символов в поле имя.
Но это уже пожеланию. | |
|
| Сообщение # 6 |
13.01.06 - 17:14:09
| |
midav •
M гость
|
cyber,  ок буду знать | |
|
| Сообщение # 7 |
13.01.06 - 23:30:06
| |
WR •
W Участник форума
|
cyber,
Текущий код:
Код:
$email=substr($email,0,30);
$msg=stripslashes($msg);
$msg=htmlspecialchars($msg);
$msg=st r_replace("I"," ",$msg);
$text="$msgI$nameI$emailI$dateI$timeI";
$text=str_replace("\r\n", "
", $text);
|
Новый код:
Код:
$name=substr($name,0,50);
$email=substr($email,0,30);
$msg=substr($msg,0,500);
$name=st r_replace("I","I",$name);
$email=str_replace("I","I",$email);
$msg=str_replace("I","I" ,$msg);
$text="$msgI$nameI$emailI$dateI$timeI";
$text=str_replace("\r\n", "
", $text);
$text=stripslashes($text);
$text=htmlspecialchars($text);
|
Забыл исправить при обновлении скрипта в декабре. Так то, надеюсь сложней взломать будет то?  Или я не прав? | |
|
| Сообщение # 8 |
16.01.06 - 07:18:07
| |
Страницы: 1
|
Главная сайта