http://www.blackroots.it/forum/index.php?topic=1154.0
Supuestamente
http://www.blackroots.it/files/bug_exploit/xss_smf_1.1.4.txt
Si eliminan el tema agradeceria que despues se publique la solucion.
GGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGG ASAS
solo para actualizarlo.. comprado. hay que ser moderador. para poder explotar esta vulnerabilidad.
;D No creo que aqui existan Traisioneros que quieran abusar de confianza :o
Es porque tienes permiso para introducir html en las noticias, no es ningún xss.
Cita de: Ing_Amc en 9 Octubre 2007, 22:24 PM
Es porque tienes permiso para introducir html en las noticias, no es ningún xss.
xDDD Exacto, para hacer eso metes directamente eso dentro del index y tambien sale :xD
El colmo de los colmos.
Ahora los admin prueban XSS con sus foros, no?
Sería un tema a debatir, el de si los programadores, conscientemente, no establecieron un sistema de filtración en la variable de los nombres de los subforos y de los grupos...
Que no exista tal protección en un sistema de noticias puede ser pasable, ¿pero qué utilidad puede tener alterar el contenido a visualizar de dos variables cuya única función es mostrar un dato constante e informativo? Estoy hablando de los módulos manageboards y membergroups...
A pesar de los daños que podrían ocasionar estos ataques, existen las sesiones de identificación, las cuales nos protegen contra posibles actos no deseados, en nuestro foro, al visitar cierto tipo de páginas Web con código malicioso.
Hablo de la ejecución de ciertas operaciones mediante formularios que se auto envían al visitar una página Web, previamente manipulada para ello, claro ésta. Si desconocemos el identificador de sesión, que es un combinación alfanumérica generada pseudo-aleatoriamente en cada sesión, no podremos ejecutar esa serie de operaciones.
Conclusión... no hay peligro inminente.