.gif)
--
zumak, вариант с chmod 0600 работает
http://efimoff.vov.ru/file.txt
Проверьте код
752
Blade
11 июн 2012 г., 15:11
The Frontend-Warrior
Lacky
11 июн 2012 г., 17:29
Ps - наше всё
Переименовано, перенесено.
zumak
11 июн 2012 г., 18:43
Поверь в мечту!
elkol (11.06.2012/11:47)На сколько я знаю есть активные и есть пассивные xss уязвимости.
При xss не нужна никакая выборка и запись в таблицу.
Для их проведения нужны хотя бы поля ввода данных, если фильтр плохо фильтрует запрос или его просто нет то можно внедрить вредоносный код.
Где тут поля ввода?
или я чего то не догнал?)
elkol
11 июн 2012 г., 18:50
zumak, Я не про этот код говорю. Смотри цитату
elkol
11 июн 2012 г., 18:50
zumak (11.06.2012/15:43)Для пассивных необязательно
На сколько я знаю есть активные и есть пассивные xss уязвимости.
Для их проведения нужны хотя бы поля ввода данных, если фильтр плохо фильтрует запрос или его просто нет то можно внедрить вредоносный
zumak
11 июн 2012 г., 18:59
Поверь в мечту!
elkol (11.06.2012/15:50)Ну так как его выполнить если полей ввода нет? В строке адреса?
Для пассивных необязательно
elkol
11 июн 2012 г., 19:00
zumak, Да. В строку вводишь код
zumak
11 июн 2012 г., 19:08
Поверь в мечту!
elkol (11.06.2012/16:00)Как вариант защиты можно сделать параметр $_GET['act'] числовым значением и собсна проверять эту переменную на числовой тип)
zumak, Да. В строку вводишь код
zumak
11 июн 2012 г., 19:10
Поверь в мечту!
Кстати давно видел в корне двиге объявление этой переменной act, она разве там не проходит фильтр?… или я не о том думаю?)Гг
elkol
11 июн 2012 г., 19:12
zumak (11.06.2012/16:08)Да я об этом в начале говорил. Чтобы от греха подальше
Как вариант защиты можно сделать параметр $_GET['act'] числовым значением и собсна проверять эту переменную на числовой тип)
Всего: 33
© 2024, JohnCMS