intTypePromotion=1
ADSENSE
 » 
 » 

Bulletin 3.0.12 & 3.5.3 XSS attack

Chia sẻ: Rer Erer | Ngày: | Loại File: PDF | Số trang:4

Thêm vào BST
Báo xấu
99
lượt xem 7
download
 
  Download Vui lòng tải xuống để xem tài liệu đầy đủ

Bulletin 3.0.12 & 3.5.3 XSS attack .Lỗi được phát hiện trong phiên bản Vbulletin phiên bản 3.5.3 và 3.0.12 . Phát sinh do sơ suất của Admin trong việc cấu hình cho vbb và do vbb không kiểm tra các kí tự nhập vào của member khi khai báo địa chỉ email trong UserCp . Enable Email features = Yes Allow Users to Email Other Members = Yes Use Secure Email Sending = No forum/admins/options.php?do=options&dogroup=email Với lỗi này , Attacker có thể dùng script để lấy Cookie của Admin , Hack Forum và còn nhiều hơn thế. ...

Chủ đề:

Bình luận(0) Đăng nhập để gửi bình luận!

Lưu

Nội dung Text: Bulletin 3.0.12 & 3.5.3 XSS attack

  1. Bulletin 3.0.12 & 3.5.3 XSS attack
  2. Lỗi được phát hiện trong phiên bản Vbulletin phiên bản 3.5.3 và 3.0.12 . Phát sinh do sơ suất của Admin trong việc cấu hình cho vbb và do vbb không kiểm tra các kí tự nhập vào của member khi khai báo địa chỉ email trong UserCp . 1. Vbulletin Option : Enable Email features = Yes Allow Users to Email Other Members = Yes Use Secure Email Sending = No forum/admins/options.php?do=options&dogroup=email 2. Nó có nguy hiểm không? Với lỗi này , Attacker có thể dùng script để lấy Cookie của Admin , Hack Forum và còn nhiều hơn thế 3. Hack thế nào?
  3. + Đăng kí thành viên . + Vào UserCp phần Password & Email Option : Chỉnh lại như sau : - Pass : Your Pass - Email: youemail@xxxxxxx?>.nomatt - Lưu ý : vì vbb giới hạn số kí tự trong phần nhập email nên các bạn sẽ phải tìm một email ngắn 1 chút . + Vào UserCp phần Edit Options : chỉnh sửa lại như sau - Receive Email from Other Members = Yes + Bây giờ bạn có thể chạy link sau để bắt đầu ... http://forum/sendmessage.php?do=mailmember&u={your}_id
  4. 4. Làm sao để fix lỗi? Những config trong Vbulletin Option là mặc định nên khi cài đặt vbulletin 3.53 hoặc 3.0.12 thì các bạn phải Disable tất cả các Option mà tôi đã nói ở trên . Đấy là cách đơn giản nhất để chống XSS .
ADSENSE

CÓ THỂ BẠN MUỐN DOWNLOAD

THÔNG TIN
TRỢ GIÚP
HỖ TRỢ KHÁCH HÀNG
Theo dõi chúng tôi

Chịu trách nhiệm nội dung:

Nguyễn Công Hà - Giám đốc Công ty TNHH TÀI LIỆU TRỰC TUYẾN VI NA

LIÊN HỆ

Địa chỉ: P402, 54A Nơ Trang Long, Phường 14, Q.Bình Thạnh, TP.HCM

Hotline: 093 303 0098

Email: support@tailieu.vn

Giấy phép Mạng Xã Hội số: 670/GP-BTTTT cấp ngày 30/11/2015 Copyright © 2009-2019 TaiLieu.VN. All rights reserved.

 

Đồng bộ tài khoản
2=>2