WordPress, Shopify ir PHPFusion programuotojų bendruomenė

Dar viena XSS eksploito pataisa
Parašė 2005 rugpjūčio 31 09:08:59

Atrastas dar vienas XSS eksploitas, kuris yra nukreiptas į vartotojo cookies. Puiku, kad su CrappoMan mes jį lengvai ištaisėm. Pataisą atsisiųsite kartu su (6-00-108up.zip) atnaujinimu. Atnaujinimas jau yra ir Sourceforge failuose. Su v.6.00.108 atnaujinimu galėsite atnaujinti savo versiją kiek iš v.6.00.106., tiek ir iš v.6.00.107. Jei norite tai padaryti rankiniu būdu - spauskite "Skaityti daugiau". Ačiū ratboy ir pacifico už informaciją. Ši pataisa turi ir daugiau pataisymų messages.php failui.

Atsisiųsti v.6.00.108.zip 11 KB

Parašė Digitanium Rugpjūčio 30, 2005

Išplėstos naujienos

Open up maincore.php, look for this line in function parseubb (approx 373)

$message = preg_replace('#(<[^>]+[\\"\'])(onmouseover|onmousedown|onmouseup|onmouseout|onmousemove|onclick|ondblclick|onload|xmlns)[^>]*>#iUu',">",$message);

Replace it with
$message = preg_replace('#(<[^>]+[\\"\'\s])(onmouseover|onmousedown|onmouseup|onmouseout|onmousemove|onclick|ondblclick|onload|xmlns)[^>]*>#iUu',">",$message);

Then, Insert this line
$message = preg_replace('#([a-z]*)=([\`\'\"]*)jscript:#iUu','$1=$2nojscript...',$message);

Before
$message = preg_replace('#([a-z]*)=([\`\'\"]*)javascript:#iUu','$1=$2nojavascript...',$message);

Then look for this line in function descript (approx line 406)
$text = preg_replace('#(<[^>]+[\\"\'])(onmouseover|onmousedown|onmouseup|onmouseout|onmousemove|onclick|ondblclick|onload|xmlns)[^>]*>#iUu',">",$text);

Replace it with
$text = preg_replace('#(<[^>]+[\\"\'\s])(onmouseover|onmousedown|onmouseup|onmouseout|onmousemove|onclick|ondblclick|onload|xmlns)[^>]*>#iUu',">",$text);

Then, Insert this line
$text = preg_replace('#([a-z]*)=([\`\'\"]*)jscript:#iUu','$1=$2nojscript...',$text);

Before
$text = preg_replace('#([a-z]*)=([\`\'\"]*)javascript:#iUu','$1=$2nojavascript...',$text);