Опасность: высокая. Инструкция по использованию: да. Состояние: закрыта. Обнаружены несколько уязвимостей в системе ucoz, на которой и работает наш сайт. 1. Уязвимость возникает из-за недостаточной обработки содержимого тега url. Не блокируются символы %, &, #, /, (, ), =, ?, >, $, ?, *, и несколько других, что позволяет злоумышленнику провести XSS атаку. 2. Уязвимость возникает из-за отсутствия обработки содержимого материала, поступаюшего в премодерацию в модулях FAQ, Дневник, Каталог статей, Каталог файлов. В момент просмотра материала из премодерации администратором или модератором, скрипт, предварительно записанный в материал, выполняется. Инструкция по использованию: заходим на http://quest.antichat.net/code.php, пишем необходимый код, выбираем кодироку html Entities Encode, полученный результат записываем в тег url.
|