XSS уязвимость в модуле Админпанель < 1.2
Данная уязвимость работает в модуле Админпанель 1.2, вкладка Пользователи -> Список.
Справа от списка пользователей предлагается отправить письмо (новое или выбрать из старых).
В старых javascript в темах сообщений никак не фильтруется.
Например
Справа от списка пользователей предлагается отправить письмо (новое или выбрать из старых).
В старых javascript в темах сообщений никак не фильтруется.
Например
<select name="talk_inbox_list" id="talk_inbox_list" onchange="AdminMessageSelect();">
<option value="0">-- Новое письмо --</option>
<option value="1">test <script>alert('1')</script></option>
</select>
19 комментариев
наверное ответить администратору с JS кодом в тексте
а тот ответит ему, типа такого
1) Хакер получил доступ к БД и вогнал туда в заголовки/тексты писем гадского кода
2) Хакер подменил шаблон Смарти и вписал туда вредоносный код
3) Что-то еще из этой серии
В любом случае — несанкционированный доступ к базе либо к исходникам. Но все это совсем не из области XSS-уязвимостей.
Но, поскольку я обынкновенный человече, то всегда допускаю вероятность ошибки. Потому и спрашиваю топик-стартера, чтобы понять — это паранойя или зоркий глаз?
Cross-site scripting (XSS) is a type of computer security vulnerability typically found in web applications which allow code injection by malicious web users into the web pages viewed by other users.
Теперь, умницы и умники — насчет java-script'a. Попробуйте отправить админу сообщение с темой
И что увидит админ? Он увидит в теме письма просто «Привет, любимый админ» и даже не почешится, но как только зайдет в админку — прощай сайт.
Avadim — какой у вас сайт, я на примере вам покажу
Но все же должен заметить: опасность была отчасти из-за того, что не достаточно жестко проверяются параметры на этапе передачи сообщения. Желательно чуть-чуть «в консерватории подправить»
Спасибо большое за дискуссию и оперативное решение проблемы! Ваш модуль я поставил самым первым, очень удобная штука.
Я лично выбираю первый вариант, хотелось бы мнение старожилов услышать.
А то снова переустанавливать/доустанавливать совсем не хочется…