-
IPB 3 - xss
Witam wszystkich
Ostatnio znalazłem metodę aby wstrzyknąć do ACP w oprogramowaniu forum IPB 3 JavaScript, tak że nie zostanie on w żaden sposób przefiltrowany, a wykonany na komputerze każdego wchodzącego tam administratora, na co dostałem potwierdzenie od jednego z nich. Pojawia się teraz pytanie: jak najlepiej to wykorzystać. Nie uważam się za speca w tej dziedzinie, jedyne co mi przyszło do głowy to kradzież cookies i sfałszowanie własnych w celu przejęcia sesji, lub automatyczne przekierowanie do linku z wbudowanym poleceniem nadania mi praw administratorskich (oczywiście na dodatkowym, fałszywym koncie). Zebrałem już sporo materiałów na temat pierwszej techniki, zdążyłem też pobrać IPB 3 i będę je właśnie instalował na swoim serwerze w celu sprawdzenia potencjału metody z przekierowaniem.
Czy tego typu luka jest czymś niezwykłym, czy raczej popularnym i niegroźnym?
Czy jako bardziej doświadczeni macie jakieś rady w tej sprawie?
Ostatnio edytowane przez Avallach : 07-31-2010 - 15:05
Zasady Postowania
- Nie możesz zakładać nowych tematów
- Nie możesz pisać wiadomości
- Nie możesz dodawać załączników
- Nie możesz edytować swoich postów
-
Forum Rules