Поиск по сайту
Вход на сайт
Обратите внимание
Топ-новости
Архив сайта
Апрель 2016 (1)
Апрель 2014 (1)
Ноябрь 2013 (1)
Октябрь 2013 (1)
Май 2013 (2)
Апрель 2013 (8)
Партнеры

seo-monster.ru - сервис проверки доменов
хочешь такой же информер? Информер ТИЦ и PR

» » Недостаточная фильтрация входящих данных

Недостаточная фильтрация входящих данных

Багфиксы

Автор: nickon.

Проблема: Недостаточная фильтрация входящих данных.

Ошибка в версии: все версии

Степень опасности: Низкая, применима только на устаревших версиях браузера Opera

Ручное исправление:

Откройте файл: engine/modules/imagepreview.php

найдите:

$_GET['image'] = htmlspecialchars ($_GET['image'], ENT_QUOTES);



ниже добавьте:
$_GET['image'] = str_replace( "document.cookie", "", $_GET['image'] );
$_GET['image'] = str_replace( "javascript", "", $_GET['image'] );

if ( preg_match( "/[?&;%<\[\]]/", $_GET['image']) ) {

$_GET['image'] = "";

}



Ключевые теги: уязвимости dle

У вас не ставится dle модуль или dle шаблон работает не правильно? Задайте вопрос на нашем форуме по DLE(Datalife Engine CMS) и Вам обязательно помогут!



Если появились вопросы по поводу Недостаточная фильтрация входящих данных или Вы хотите высказаться, то пройдите регистрацию или авторизируйтесь и оставляйте комментарии.
#1 написал: Junik (18 июня 2008 15:40)

Публикаций: 0
Комментариев: 0
А это что для чего???

if ( preg_match( "/[?&;%<\[\]]/", $_GET['image']) ) {

$_GET['image'] = "";

}[/code]
#2 написал: nonamez (18 июня 2008 16:39)

Публикаций: 0
Комментариев: 0
Бугагаа,а ведь я никону про эту ксс рассказал)))
#3 написал: demzyk (18 июня 2008 17:32)

Публикаций: 0
Комментариев: 0
nonamez,
А фикс был выпущен селсофтом после обсуждения в разделе платной поддержки, этой темы
#4 написал: vladimir (20 июня 2008 23:12)

Публикаций: 263
Комментариев: 754
Junik,
Это если в входной переменной image встречаются знаки ?&;%<[]
Информация

Посетители, находящиеся в группе Гости, не могут оставлять комментарии к данной публикации.

Вверх