Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (79.53 KB, 4 trang )
Bulletin 3.0.12 & 3.5.3 XSS attack
Lỗi được phát hiện trong phiên bản Vbulletin phiên bản 3.5.3 và 3.0.12 .
Phát sinh do sơ suất của Admin trong việc cấu hình cho vbb và do vbb
không kiểm tra các kí tự nhập vào của member khi khai báo địa chỉ
email trong UserCp .
1. Vbulletin Option :
Enable Email features = Yes
Allow Users to Email Other Members = Yes
Use Secure Email Sending = No
forum/admins/options.php?do=options&dogroup=email
2. Nó có nguy hiểm không?
Với lỗi này , Attacker có thể dùng script để lấy Cookie của Admin , Hack
Forum và còn nhiều hơn thế
3. Hack thế nào?
+ Đăng kí thành viên .
+ Vào UserCp phần Password & Email Option :
Chỉnh lại như sau :