Бесплатные PHP скрипты - форум техподдержки

Бесплатные PHP скрипты - форум техподдержки

Форум техподдержки WR-Скриптов на php. Обсуждаем: основы программирования на PHP 5 - 7 версий, различные подходы к написанию скриптов на php 7 без MySQL. А также WR-скрипты: бесплатные доски объявлений, скрипты форумов, Гостевые книги, Каталог ссылок, Галерея, Фотоальбом, Счётчики, Рассылки, Анекдот и другие. Принимаются пожелания для новых версий. Сообщите какой скрипт нужен для Вашего сайта, постараемся найти или реализовать. Скачать скрипты можно бесплатно. Вместе мы сделаем бесплатные php скрипты лучше и доступнее!

Главная сайта бесплатных php скриптовГлавная сайта   ПоискПоиск  
Сегодня: 13.06.2024 - 09:27:57
Страницы:  1  

WR - Quickchat v. 1.1

Объявление - WR-Scriptы в UTF-8 кодировке

Активно обновляю скрипты и перевожу их в UTF-8 кодировку. Список перекодированных php скриптов доступен на главной странице сайта. Скачивайте скрипты и устанавливайте на свой сайт! В ближайшее время обновлю каталог знакомств, форум Про, фотоальбом, доски объявлений лайт и ЛЮКС.

На форуме, пожалуйста, пишите что модернизировать в скриптах в первую очередь. Постараюсь исправить большую часть пожеланий!
Планирую продолжить работы весь 2023 год.

АвторСообщение

cyber

C
гость

Администратор!
WR - Quickchat v. 1.1
XSS уязвимость.
Поле "Имя" не фильтрует html теги.

Сообщение # 1 12.01.06 - 22:33:29

cyber

C
гость

Так что, уязвимость найденна как ни как...
Вопрос:
Почему не закрыта уязвимость + почему нету никаких офицальных объявлений.
P.S Кстати, уязвимость найженна мню, если хотите сотрудничать обращайтесь ICQ#: 4714772

Сообщение # 2 12.01.06 - 22:37:17

midav

M
гость

млин может мне наконец объяснят что это такая за уязвимость! Как я понял это тогда когда html не фильтруется! А как это проверить на деле?

Сообщение # 3 12.01.06 - 22:43:12

cyber

C
гость

midav
К примеру в скрипте "WR - Quickchat v. 1.1", есть поля ввода данных (https://www.wr-script.ru/quickchat/add.php) Так вот, в поле "Имя" можно вводить любые html теги. То есть можно выделить текст как хочешь, вставить картинку и.т.п.
Так же можно использовать , для кражи ip адресов.
В данном случае стоит ограничение на символы в 30 знаков, поэтому cниффер не удастся запустить, (Не хватит места). Но всё же это считается уязвимостью.

WR
Ок.

Сообщение # 4 13.01.06 - 07:45:49

midav

M
гость

cyber, и как я понял чтоб с этим бороться просто добавить $msg=htmlspecialchar($msg);
так походу не?

Сообщение # 5 13.01.06 - 12:55:41

cyber

C
гость

Да скорее всего...
Ещё лучше уменьшить количество символов в поле имя.
Но это уже пожеланию.

Сообщение # 6 13.01.06 - 17:14:09

midav

M
гость

cyber, ок буду знать

Сообщение # 7 13.01.06 - 23:30:06

WR

W
Участник форума

cyber,

Текущий код:


Код:


$email=substr($email,0,30);
$msg=stripslashes($msg);
$msg=htmlspecialchars($msg);
$msg=st r_replace("I"," ",$msg);
$text="$msgI$nameI$emailI$dateI$timeI";
$text=str_replace("\r\n", "
", $text);



Новый код:


Код:

$name=substr($name,0,50);
$email=substr($email,0,30);
$msg=substr($msg,0,500);

$name=st r_replace("I","I",$name);
$email=str_replace("I","I",$email);
$msg=str_replace("I","I" ,$msg);

$text="$msgI$nameI$emailI$dateI$timeI";

$text=str_replace("\r\n", "
", $text);

$text=stripslashes($text);
$text=htmlspecialchars($text);


Забыл исправить при обновлении скрипта в декабре. Так то, надеюсь сложней взломать будет то? Или я не прав?

Сообщение # 8 16.01.06 - 07:18:07
Безопасность wr скриптов. :Предыдущая темаСледующая тема: Очередной баг... на этот раз в рассылке
Страницы:  1  

Сообщение
Имя E-mail
Сообщение

Нажмите на точку возле имени для обращения к участнику

Смайлы:

Ещё смайлы
Эмодзи
         
Защитный код: (введите цифры, которые на синем фоне)
Ответ на вопрос: (Какой сейчас год?)
   
WR-Счётчик
Powered by WR-Forum Professional © 2.3 UTF-8 beta версия