Vesta Control Panel - Forum

Community Forum
https://forum.vestacp.com/

Множественные XSS

https://forum.vestacp.com/viewtopic.php?f=28&t=3846

Page 1 of 1

Множественные XSS

Posted: Tue Aug 20, 2013 11:05 am
by Shamilik
1. /templates/admin/list_cron.html

Code: Select all

<?php echo $data[$key]['CMD'] ?>
=>
<?php echo htmlspecialchars($data[$key]['CMD'], ENT_NOQUOTES) ?>
2. /templates/user/list_cron.html

Code: Select all

<?php echo $data[$key]['CMD'] ?>
=>
<?php echo htmlspecialchars($data[$key]['CMD'], ENT_NOQUOTES) ?>
Позже дополню, т.к. забыл где были еще ><

Re: Множественные XSS

Posted: Tue Aug 20, 2013 11:23 am
by skid
Закомитил, спасибо.

Re: Множественные XSS

Posted: Tue Aug 20, 2013 4:26 pm
by Shamilik
1. Короче, почти весь вывод данных не фильтруется. Список составлять лень. Вам лучше знать где данные могут выводиться криво, т.е. XSS и т.д.
2. Нужно запретить доступ к папке /templates/ и подобным.

Re: Множественные XSS

Posted: Tue Aug 20, 2013 5:27 pm
by skid
Для чего запрещать доступ к папке templates ?

Re: Множественные XSS

Posted: Tue Aug 20, 2013 5:33 pm
by Shamilik
Например, чтобы по шаблонам нельзя было определить версию Vesta и пробовать применять баги этой версии.
All times are UTC
Page 1 of 1
Powered by phpBB® Forum Software © phpBB Limited
https://www.phpbb.com/