Недочёт в скрипте SoooFast
Недочёт в скрипте SoooFast
Заметил я как-то раз в скрипте SoooFast такую вот штуковину, заходим в админ-панель сайта, перейдём на страницу добавления новостей, и в тексте пишем любой JS (или HTML) и при входе на сайт он активируется. А этого не должно быть. К примеру давайте впишем такой вот JS:
<script>alert('Недочёт в скрипте SoooFast');</script>

Мы увидим при входе на сайт то, что Вы видите на скрине. Просто в SoooFast'е почти нигде нету фильтраторов.

Откроем файл menuright.php, найдём код, который выводит новости сайта:
<?
require('config.php');
$sql="select * from tb_news order by id desc limit 1";
$res=mysql_query($sql);
$row=mysql_fetch_array($res);

echo "<img src="images/info.png" align="middle">&nbsp;<SPAN style='font-family: "Tahoma"; font-size: 10pt; font-weight: bold;'>";
echo $row["data"];
echo "</span><SPAN style='font-family: "Tahoma"; font-size: 10pt; font-weight: normal;'>";
echo " - ";
echo $row["newstext"];
echo "</span>";
?>

Каждый массив $row[]; профильтруем с помощью фильтратора:
htmlspecialchars();

У нас должно получится так:
htmlspecialchars($row["newstext"]);

И как Вы думаете, что у нас выйдет ? Сейчас узнаем, смотрим на скрин:


HTML, JS и т.п - больше не работают.

От плюсика не откажусь fellow


Рубрика: Бесплатное » Дыры, ошибки   |   Автор: cms-studio   |   Просмотры: 4248
Комментариев: 95
Публикаций: 2
ICQ: 656527
- 355 +
  Автор: NGS   |   Группа: NGS Engine   |   Дата: 15 июня 2011  
какая это дыра?
а если захочешь в новости опебликовать хтмл коды.... например ссылку сделать или выделить жирным...
Комментариев: 13
Публикаций: 2
ICQ: --
- 18 +
  Автор: cms-studio   |   Группа: Пользователи   |   Дата: 15 июня 2011  
Цитата: NGS
какая это дыра? а если захочешь в новости опебликовать хтмл коды.... например ссылку сделать или выделить жирным...

А кто сказал что это дыра ? Это недочёт.

Нужны BB коды ? Можно написать! Зачем нам JS и т.п. ?

Злоумышленник может этим поспользоваться. Например впишет JS который перезагружает компьютер.
Комментариев: 95
Публикаций: 2
ICQ: 656527
- 355 +
  Автор: NGS   |   Группа: NGS Engine   |   Дата: 15 июня 2011  
))))))) злоумышленик попав в админку, думаю последнее что будет делать, так это JS цеплять :))))
Комментариев: 13
Публикаций: 2
ICQ: --
- 18 +
  Автор: cms-studio   |   Группа: Пользователи   |   Дата: 15 июня 2011  
Цитата: NGS
))))))) злоумышленик попав в админку, думаю последнее что будет делать, так это JS цеплять :))))

А может он захочет прикальнуться просто ?

Не, ну ведь это неправильно! JS недолжны работать нигде! В SoooFast'е ещё много чего нашёл. Скоро будут ещё статьи.
Комментариев: 95
Публикаций: 2
ICQ: 656527
- 355 +
  Автор: NGS   |   Группа: NGS Engine   |   Дата: 15 июня 2011  
ну тогда не htmlcpecial chars закрывать, у далять все <script></script> alert() и будет достаточно
Комментариев: 13
Публикаций: 2
ICQ: --
- 18 +
  Автор: cms-studio   |   Группа: Пользователи   |   Дата: 15 июня 2011  
Цитата: NGS
ну тогда не htmlcpecial chars закрывать, у далять все <script></script> alert() и будет достаточно

Позже напишу статью как пользоваться str_replace();.
Комментариев: 34
Публикаций: 1
ICQ: --
- 12 +
  Автор: georg2030   |   Группа: Пользователи   |   Дата: 15 июня 2011  
мда....
Цитата: NGS
какая это дыра?
а если захочешь в новости опебликовать хтмл коды.... например ссылку сделать или выделить жирным...

+1
Комментариев: 13
Публикаций: 2
ICQ: --
- 18 +
  Автор: cms-studio   |   Группа: Пользователи   |   Дата: 15 июня 2011  
georg2030, Вы пожалуйста все комментарии прочтите. А потом критикуйте.
Комментариев: 99
Публикаций: 0
ICQ: --
- 77 +
  Автор: tagan   |   Группа: V.I.P.   |   Дата: 16 июня 2011  
cms-studio,
Прочел коментарии! И смысл? NGS, верно написал что просто удалить это! И если Админ захочет в новости ссыль добавить? А злоумышленник в первую очередь базу стырит, а потом подумает оставить сайт в живых или перепродать его по частям!
Комментариев: 134
Публикаций: 0
ICQ: 428155128
- 171 +
  Автор: SoooFast   |   Группа: Пользователи   |   Дата: 16 июня 2011  
это не недочет, а так было задумано специально, чтобы у админа было больше возможностей работы с сайтом! вряд ли админ будет специально ломать свой сайт говно-кодами, но если захочет что то особенное сделать в тех же новостях, то у него есть такая возможность! ББ коды тоже как вариант, но куда проще оставить возможность использовать HTML, чем реализовывать поддержку ББ кодов! а учитывая цену, за которую скрипт продавался и как активно его народ выкладывал в паблик, то как то ни смысла, ни желания возникнуть не могло такое делать! а даже если злоумышленник попадет в админку, то он с очень малой вероятностью будет вот так баловаться новостями! он скорей, если ради прикола, сделает что то другое, а не яваскрипты будет толкать! он скорей свою рекламу нахаляву разместит, то на такие новости будет разоряться!

Цитата: cms-studio
JS недолжны работать нигде

JS не должны работать нигде, кроме тех мест, где специально разработчиком так задумано, что можно использовать яваскрипт!

Цитата: cms-studio
Например впишет JS который перезагружает компьютер.

ооооуу, ну ка покажи мне примерчик такого скрипта или хотя бы какие то упоминания о том, что так можно сделать! а как же политика безопасности браузеров, которая запрещает любые действвия над компом посетителя сайта?
Комментариев: 13
Публикаций: 2
ICQ: --
- 18 +
  Автор: cms-studio   |   Группа: Пользователи   |   Дата: 16 июня 2011  
По-пи*деть все любят я смотрю. Да Вы сами лучше что-нибудь напишите, да выкладывайте. Или SFB просто превратится незнаю во что....
Новые статьи тут редкость я заметил.

Цитата: tagan
cms-studio,
Прочел коментарии! И смысл? NGS, верно написал что просто удалить это! И если Админ захочет в новости ссыль добавить? А злоумышленник в первую очередь базу стырит, а потом подумает оставить сайт в живых или перепродать его по частям!

Раз Вы такой умный, то скажите пожалуйста, зачем же нам нужно то, что может навредить пользователю ?

JS совершенно там не нужен. А для "добавить ссылку в новость" - идём на сайты типо php.su - и учим PHP, а также JS, он тоже понадобится. И будет Вам счастье.

Вы за это ещё спасибо скажите,умники!


Цитата: SoooFast
ооооуу, ну ка покажи мне примерчик такого скрипта или хотя бы какие то упоминания о том, что так можно сделать! а как же политика безопасности браузеров, которая запрещает любые действвия над компом посетителя сайта?

Есть такой, есть. Ссылки на сайт не помню, было очень давно.

Я лично такой проверял на одном из буксов.

Вообщем - удалите статью. Тут все такие умные, один я дурак.

SoooFast, У Вас есть право удалять новости ? Удалите если Вам не сложно.
Комментариев: 134
Публикаций: 0
ICQ: 428155128
- 171 +
  Автор: SoooFast   |   Группа: Пользователи   |   Дата: 16 июня 2011  
Цитата: cms-studio
Тут все такие умные, один я дурак.

никто никого тут дураком не считает!

а статью я удалять не буду, пусть ее критикуют, без критики ни одна работа не обходится, так что нужно просто принять ее к сведению и все :) статья пусть будет, может кому то и пригодится :)
Комментариев: 13
Публикаций: 2
ICQ: --
- 18 +
  Автор: cms-studio   |   Группа: Пользователи   |   Дата: 16 июня 2011  
Цитата: SoooFast
никто никого тут дураком не считает!а статью я удалять не буду, пусть ее критикуют, без критики ни одна работа не обходится, так что нужно просто принять ее к сведению и все :) статья пусть будет, может кому то и пригодится :)

Удалите.

Лучше другую статью мою промодерируйте.
Комментариев: 77
Публикаций: 2
ICQ: 50406060
- 191 +
  Автор: Contego   |   Группа: Пользователи   |   Дата: 16 июня 2011  
Имхо бредовая идея.
Новости добавляет админ
зачему тут нада чето исравлять??

Цитата: NGS
))))))) злоумышленик попав в админку, думаю последнее что будет делать, так это JS цеплять :))))

я под столом:))))))))))))
Комментариев: 34
Публикаций: 1
ICQ: --
- 12 +
  Автор: georg2030   |   Группа: Пользователи   |   Дата: 17 июня 2011  
Цитата: cms-studio

georg2030, Вы пожалуйста все комментарии прочтите. А потом критикуйте.

O_O, а я что-то пропустил? Я считаю что на этом сообщении NGS стоило закончить обсуждение
Комментариев: 121
Публикаций: 2
ICQ: 819374
- 118 +
  Автор: Rufus   |   Группа: Программисты   |   Дата: 17 июня 2011  
А я уже давно поставил WYSIWYG
Комментариев: 13
Публикаций: 2
ICQ: --
- 18 +
  Автор: cms-studio   |   Группа: Пользователи   |   Дата: 17 июня 2011  
Цитата: Rufus
А я уже давно поставил WYSIWYG

Вот и я об этом же. Пусть сделают BB коды. JS ведь в новостях там не нужны!
Информация

Посетители, находящиеся в группе Гости, не могут оставлять комментарии к данной публикации.