support 447 Опубликовано 16 января, 2008 Жалоба Share Опубликовано 16 января, 2008 Всем кто пользуется VaM Shop. Откройте файл /advanced_search_result.php и замените: vam_db_input($_GET['keywords'])[/code] на: [code]htmlspecialchars(vam_db_input($_GET['keywords'])) Это исправит небольшую проблему с XSS. Ссылка на сообщение Поделиться на другие сайты
matvey 0 Опубликовано 16 января, 2008 Жалоба Share Опубликовано 16 января, 2008 Спасибо Саша! Пошел исправлять :) А то бывают случаи в жизни :) Ссылка на сообщение Поделиться на другие сайты
support 447 Опубликовано 16 января, 2008 Автор Жалоба Share Опубликовано 16 января, 2008 Это конечно не очень серьзёный баг, но неприятный, лучше исправить :) Ссылка на сообщение Поделиться на другие сайты
one 0 Опубликовано 16 января, 2008 Жалоба Share Опубликовано 16 января, 2008 А в чем его суть? Ссылка на сообщение Поделиться на другие сайты
support 447 Опубликовано 16 января, 2008 Автор Жалоба Share Опубликовано 16 января, 2008 Вот например открой вот такую ссылку - http://petmarket.com.ua/advanced_search_result.php?keywords=%22%3E%3Ciframe+src%3Dhttp%3A%2F%2Fwww.google.ru%2F%3E&x=0&y=0 Это и есть xss (cross site scripting), в данном случае никакой серьёзной опасности как я понимаю не представляет, но в любом случае это ошибка и её лучше исправить. Ссылка на сообщение Поделиться на другие сайты
matvey 0 Опубликовано 16 января, 2008 Жалоба Share Опубликовано 16 января, 2008 XSS А в чем его суть? http://wmast.com.ua/web/articles.php?clause=10 Можно нагуглить очень много Ссылка на сообщение Поделиться на другие сайты
support 447 Опубликовано 16 января, 2008 Автор Жалоба Share Опубликовано 16 января, 2008 XSS, из-за того, что не достаточно данные входные фильтруютя, как я понимаю. Ссылка на сообщение Поделиться на другие сайты
one 0 Опубликовано 16 января, 2008 Жалоба Share Опубликовано 16 января, 2008 Я спрашивал не что такое XSS а в чем суть бага.... Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения