Форумы наконец нашелся вроде баг на FastBB

админский баг на FastBB

В личном звании можно вставлять HTML-тэги: вешает весь форум нах. пишу к примеру:
<script>
alert('PREVED');
</script>
- весь форум вылетает при просмотре любого моего поста. Более того выводит на экран хэш пароля и кучу других js переменных.

Но это звание есть тока у модеров - но уже есть уязвимость. А то писали, что совсем нет... Можно модером ломать весь форум...

 

Ну да...можно быть может...но вот как заполучить хэш хотя бы того же модератора?...
Нужно знать как добыть сам хэш, а там уже можно будет сообразить что с форумом сделать...

 

[/QUOTE]В личном звании можно вставлять HTML-тэги: вешает весь форум нах. пишу к примеру:
<script>
alert('PREVED');
</script>
- весь форум вылетает при просмотре любого моего поста. Более того выводит на экран хэш пароля и кучу других js переменных.

 

Такие баги сплошь и рядом в админках. Только толку от них? Обычно все ищут xss дабы получить админ доступ и т.п. А зачем это нужно, если ты уже админ

 

Это понятно, сейчас прописал сделал такого пользователя и немогу в админку зайти или еще куда-нить, чтоб исправить личное звание или хотя бы удалить это пользователя.....что делать, кто-нибудь знает?
Или это можно как-нибудь исравить этот баг? Весь форум рухнул, не знаю что делать...

 

всё равно спс я модер на нескольких лажовых форумах попобую )))

 

в админках дохера дыр, согласен с fucker"ok, но толку то от них?

 

ужоснах

 

такая же бага присутствует во всех последних булках.. и как правильно сказал fucker"ok, она есть сплошь и рядом.. на днях тока кое-кто выложил инфу про подобные баги в vBulletin на багтрак, над этим адвисори разработчики тока посмеялись (а зря)..

2lexer666 - когда я сотворил подобное в vBulletin, то пришлось править запись в БД форума..

 

Извияюсь, что не в тему. Я однажды вставил на форуме

Code:

alert(' TRIAL PERIOD EXPIRED!\nPlease, buy valid license key. ');

и чел повёлся!

 

а можно сделать так: попросить друга модера воткнуть такое чудо в звание админа и впоследсдвии узнать его пасс а потом попросить убрать из звания? или я чтото не понял...

 

А не понял ты то что модер не сможет влепить звание АДМИНУ =)

 

Ха ха)Ох не могу хэк Залезь в базу данных и исправь статус

 

а модер модеру может? хотябы модера узнать а уж далее посмотрим

 

>> Ха ха)Ох не могу хэк Залезь в базу данных и исправь статус

если он на сайте модератор, то это не означает, что у него есть доступ к БД..

>> а модер модеру может? хотябы модера узнать а уж далее посмотрим

не тормозите.. если ты на сайте модер, то можешь влепить такое "звание" САМОМУ СЕБЕ..

 

Это понятно, сейчас прописал сделал такого пользователя и немогу в админку зайти
Если есть доступ в админку значит не просто модер..

 

я имел в виду прописать в звание не с целью завалить форум а с целью узнать пасс другого!

 

Кто в твою тему просмотрит/отпишется с этим званием того хеш и узнаешь
как я понял.

 

Нет,с помощью этого вобще нельзя утянуть хеш

 

хммм... а чтож тогда некто comcon1, пишет что можно?