ОРФографическое
   Улучшение
    Сайтов|
Orphus community
Orphus Community
Orphus community forum.
 

Уязвимость в скрипте orphus (PetyaLevkin)
Автор Сообщение
PetyaLevkin
Заглянувший



Зарегистрирован: 31.03.2015
Сообщ.: 1
Карма: 0
   поощрить/наказать


СообщениеДобавлено: Ср Апр 01, 2015 12:28 am (написано за 7 минут 3 секунды)
   Заголовок сообщения: Уязвимость в скрипте orphus
   Ответить с цитатой

На данный момент, ВСЕ сайты, на которых установлен orphus являются уязвимыми к self reflected XSS(goo.gl/b1TtMF) атаке.
Для примера, приведу скриншот уязвимости на сайте orphus.ru:


Суть уязвимости, простыми словами:
  1. На сайте есть какой-то кусок кода, с html тегами. Например: "Создаем заголовок статьи. Для этого напишем в html документе <h1>ТЕКСТ</h1>"
  2. Пользователь выделяет эту часть статьи.
  3. Появляется модальное окно orphus, которая уточняет выделенный текст (в котором содержится html теги), и тем самым исполняет html, а не выводит его.
  4. Всё, вышеописанное, может привести к исполнению JavaScript кода на странице вашего сайта.
Как устранить:
Найти в файле orphus.js строку _63.text и заменить ее на:
Код (JavaScript): скопировать код в буфер обмена
_63.text.replace(/&/g, '&amp;').replace(/</g, '&lt;').replace(/>/g, '&gt;').replace(/"/g, '&quot;')
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
Показать сообщения:   
Этот форум закрыт, вы не можете писать новые сообщения и редактировать старые.   Эта тема закрыта, вы не можете писать ответы и редактировать сообщения. Часовой пояс: GMT + 4 (Москва, Лето)
Страница 1 из 1    Отправить ссылку другу
Вы не можете начинать темы. Вы не можете отвечать на сообщения. Вы не можете редактировать свои сообщения. Вы не можете удалять свои сообщения. Вы не можете голосовать в опросах. Вы можете отправлять сообщение модераторам. Вы не можете прилагать файлы к сообщениям. Вы можете скачивать файлы.