Легенда:
новое сообщение
закрытая нитка
новое сообщение
в закрытой нитке
старое сообщение
|
- Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
- Новичкам также крайне полезно ознакомиться с данным документом.
Ошибки... 09.03.05 10:47 Число просмотров: 1280
Автор: paganoid Статус: Member
|
> > > Спасибо за помощь! ;) Ещё есть замечания? > > > > скоро совсем тебе там все развалю хыхы > Только рад буду :). Честно, - чем больше ошибок Вы > находите, тем для форума лучше ;).
мне, конечно, лестно что ты меня прям так на "Вы", но не настолько
уж я и нагадил, чтоб от меня такую дистанцию держать ;))
> > > Ну еще имеет место быть посылка сообщений от чужого > имени ( > > {input type=hidden name=uname value=test1>}меняешь > и > > ура), XSS там же , лечение - не использовать hidden > поля. > > Исправил.
Зер гуд
> > > javascript ссылки в "адрес сайта", лечение - разбор > урлы, > > отсечение схем кроме http > > Чего не надо допускать в ссылке, чтобы обезопасить её от > javascript?
давать начинаться только с http:// и урленкодить урленкодить урленкодить урленкодить урленкодить урленкодить
> > > опечаточка "Колчество сообщений" в кабинете.. > > Исправил ;). > Ещё раз спасибо за помощь! ;)
Далее ошибки..
когда выводятся значения полей внутрь input value="" , не ескейпятся html символы. Т.ч ввести имя к примеру в личном кабинете >>Василий "бронебойный"<< не удается. Т.е. удается, но все имя не показывается.
Далее. Urlencode ты по прежнему игнорируешь, со всеми вытекающими. К примеру, завел я узера n0xi0uzz"boom , тыкаешь на него и попадаешь в страницу с ТВОИМИ данными.
Когда выводятся данные по пользователю, нет урленкода, т.ч. там тож разгул XSS
Он же, урленкод..
имя пользователя test" disabled " - и данные юзера нельзя просмотреть, ибо ссылка задизяблена..
Далее - спуф админского имени - заводишь юзера "n0xi0uzz " (без кавычек) и получается похожий чел.
Юзер с пустым именем (вводишь = и поехали)..
|
|
|