Ответ
 
Опции вопроса Поиск в этом вопросе Опции просмотра
  #1  
Старый 01.10.2011, 05:11
Аватар для Guest
Guest
Вопрос
Сообщений: n/a
По умолчанию

Если разрешить пользователям использовать тег IMG в комментах на сайте, то это открывает очень большую уязвимость!Оказывается, что фото можно вставлять с других сайтов, соответственно, некоторых пользователей взламывают, и на мой сайт в тег IMG загружали в комментарии всяческие скрипты, которые реально работали, если открыть в новости комментарии!Месяц назад под этим тегом мне загружали скрипты для зависания сайта, а вот 2 дня назад сразу в несколько последних новостей на сайте, загрузили под тегом IMG фишинговый скрипт!То есть, когда юзер заходил в новости, где был этот самый "коммент", то у него сразу же всплывало окно, где требовалось ввести логин и пароль, якобы для авторизации на сайте, но это был скрипт от фишингово сайта, который собирал базу логинов и паролей!Вот, на скриншоте я успел запечатлеть, как все это выглядит, если зайти в новость с таким вот комментом с тегом IMG:прошу исправить данный баг! помню, вроде в dle 2 года назад был такой же баг, когда в тег IMG загружали скрипты для взлома...сейчас временно отключил возможность для пользователей использовать этот тег IMG.
Ответить с цитированием
Ответ



Похожие вопросы
Тема Автор Раздел Ответов Последний вопрос или ответ
Пожалуйста проверте на уязвимость Guest Продолжение старого архива 0 16.10.2011 15:25
Уязвимость в версии 1.1.5 Guest Продолжение старого архива 0 01.10.2011 02:54
[решено]Как сделать названия материалов в теге <h1>, по умолчанию он в теге <h2>? Guest Третий архив вопросов и ответов 0 29.09.2011 13:20
Linux: уязвимость в Telnet Guest Новый архив 3 0 27.09.2011 12:28



© www.otvetnemail.ru - Форум вопросов и ответов.