- Поисковые системы
- Практика оптимизации
- Трафик для сайтов
- Монетизация сайтов
- Сайтостроение
- Социальный Маркетинг
- Общение профессионалов
- Биржа и продажа
- Финансовые объявления
- Работа на постоянной основе
- Сайты - покупка, продажа
- Соцсети: страницы, группы, приложения
- Сайты без доменов
- Трафик, тизерная и баннерная реклама
- Продажа, оценка, регистрация доменов
- Ссылки - обмен, покупка, продажа
- Программы и скрипты
- Размещение статей
- Инфопродукты
- Прочие цифровые товары
- Работа и услуги для вебмастера
- Оптимизация, продвижение и аудит
- Ведение рекламных кампаний
- Услуги в области SMM
- Программирование
- Администрирование серверов и сайтов
- Прокси, ВПН, анонимайзеры, IP
- Платное обучение, вебинары
- Регистрация в каталогах
- Копирайтинг, переводы
- Дизайн
- Usability: консультации и аудит
- Изготовление сайтов
- Наполнение сайтов
- Прочие услуги
- Не про работу
Маркетинг для шоколадной фабрики. На 34% выше средний чек
Через устранение узких мест
Оксана Мамчуева
Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий
Возникла проблемма в Danneo CMS
Если хакер попадет в админку и добавит новость то свободно выполниться XSS код
script>alert("XSS")</script
Посоветуйте как решить проблемму перед добавлением в базу данных?
Самому все проверить каждый запрос и очищать все входящие данные?
так же из за того что теги не преобразуются получается ошибка в RSS ленте.
версия 5.1
У даннео есть файлик danneo.track.php там есть строки
"OUTFILE",
"FROM",
"SELECT",
"WHERE",
"SHUTDOWN",
"UPDATE",
"DELETE",
"CHANGE",
"MODIFY",
"RENAME",
"RELOAD",
"ALTER",
"GRANT",
"DROP",
"INSERT",
"CONCAT",
"cmd",
"exec",
"--",
// HTML LINE
"\([^>]*\"?[^)]*\)",
"<[^>]*body*\"?[^>]*>",
"<[^>]*script*\"?[^>]*>",
"<[^>]*object*\"?[^>]*>",
"<[^>]*iframe*\"?[^>]*>",
"<[^>]*img*\"?[^>]*>",
"<[^>]*frame*\"?[^>]*>",
"<[^>]*applet*\"?[^>]*>",
"<[^>]*meta*\"?[^>]*>",
"<[^>]*style*\"?[^>]*>",
"<[^>]*form*\"?[^>]*>",
"<[^>]*div*\"?[^>]*>");
админку закрой через htpasswd и ни кто не выполнит. Попасть то он может есть руки у владельца кривые )))
Если хакер попадет в админку и добавит новость то свободно выполниться XSS код
script>alert("XSS")</script
Если хакер попадет в админку он там много чего сделать может.
С лентой косяк есть, нужно править. Если платежеспособны - пишите ТЗ.
У даннео есть файлик danneo.track.php там есть строки
админку закрой через htpasswd и ни кто не выполнит. Попасть то он может есть руки у владельца кривые )))
За админку я не боюсь.
Но баг имеет место. И почему то самый обычный XSS срабатывает
Добавил в danneo.track.php
данные. Спасибо.
KosoyRoman Скажите пожалуйста если можете.
Как вывести новости из определненной категории на сайте.
Например есть категория музыка вот я хочу вывести из нее 2 новости в отдельный блок.
seosniks добавил 12.10.2008 в 20:50
Если хакер попадет в админку он там много чего сделать может.
С лентой косяк есть, нужно править. Если платежеспособны - пишите ТЗ.
Да я сам пишу сечас скрипт, под свои нужны. Просто решил спросить знающих людей.
А проверку я сделаю чтоб в админке небыло мусора .
И RSS подправлю