Получил отчет системы мониторинга информационной безопасности XSpider 7...
(cм. html-док в аттаче т.к. сюда копирнуть не получается - не постится =(((
собсна говоря что делать то, вроде последний секьюрити-патч установлен? насколько я понимаю - дырка в модуле user?
Вложение | Размер |
---|---|
![]() | 10.57 КБ |
Комментарии
Ну.. И чего Вы тут нас в заблуждение вводите?
Нефига не последняя версия у Вас!
Читать: http://drupal.ru/node/1047
Проверял на своем сайте, с версией 4.5.3, ввожу email
XSS@<xscript>XSS</xscript>.com
получаю ответ:
"Адрес электронной почты XSS@XSS.com не корректен."
Так что в последней версии все в порядке. Обновляйтесь.
(можете сами проверить у меня не сайте... в подписи)
--
USU-Lug http://usu-lug.org.ru
Перепроверил всё сам сначала, дата обновления модуля user.module на сайте 2 июня. v 1.407.2.12 2005/06/01.
да и приглядитесь к отчету - там в результатах исполнения скрипта как раз данная строчка и выводится:
а вот к чему это всё - непонятно
Посмотрел повнимательнее...

Твой сканер рукается на то, что введеный в поле тэг отображается на странице. Только в тэге как я понимаю ничего страшного нет. Вот если бы он пропускал... А не пропускает
Конечно, пользователь может какой-нибудь style тэг. Да, дизайн попортится, но пользователь сам виноват. Нефиг всякую гадость писать
Вообщем: Главное, чтобы Друпал не согласился создать аккаунт с мылом, которое содержит тэг. Он и не соглашается.
И чтобы Друпал не выводил обратно тэг <script> - он и не выводит (именно в виде тэга).
Поэтому, можно сказать, что у хспайдера параноя.
--
USU-Lug http://usu-lug.org.ru
Так в том то и суть что выводит!
Угу... Тогда может ты объяснишь что за замечательный тэг xscript? Может я просто чего-то не понимаю?
Я понимаю надо боятся тэга script - это да, это плохо ... Но, script он тебе не разрешит ввести вообще. Получишь короткий ответ в 1ну строку:
"Terminated request because of suspicious input data."
А в чем опастность xscript?
Погуглил слегка. Но, никакого скриптового языка, который бы ограничивался тэгами xscript не нашел. Плохо искал?
--
USU-Lug http://usu-lug.org.ru
мда
ладна, буду копать 
Хотя... с другой стороны, ничего хорошего в том, что он пропускает вообще хоть какие-нибудь тэги нет
--
USU-Lug http://usu-lug.org.ru
как думаешь, мож на drupal.org это стоит вывесить в форуме гденить?
не стоит, т.к. тебя в мягкой форме попросят доказать чем действительно опасен xscript, а то что .m проводит тестирование сайтов на уязвимость с помощью xspider7, т.к. это внутривенно. Так, для проформы...
нашли?