lostyazilim
tr.link

WM Aracı Bugu

5 Mesajlar 855 Okunma
acebozum
tr.link

JumperTech JumperTech Üyeliği Durdurulmuş Banlı Kullanıcı
  • Üyelik 02.07.2016
  • Yaş/Cinsiyet 39 / E
  • Meslek Webmaster
  • Konum İstanbul Avrupa
  • Ad Soyad B** O**
  • Mesajlar 1705
  • Beğeniler 820 / 523
  • Ticaret 19, (%100)
Merhaba,

Profil ayarları sayfasında izin verilmeyen tek boşluk karakteri, html boşluk kodu ile aşılmakta.

Bypass edebilen kod:

& # 160 (Boşluksuz.)

Bu kodu yazıp kaydettiğimiz de, kayıt edilen kod sonradan çözümlenerek boşluk olarak profilimizde yansımaktadır.

Sadece profil sayfasında değil bir çok sayfada bu html kodu çözümlenmektedir, bunu minimal xss açığı olarak tanımlayabiliriz.

admin
 

 

elektronikssl
webimgo

bd bd WM Aracı Kullanıcı
  • Üyelik 26.10.2010
  • Yaş/Cinsiyet 34 / E
  • Meslek 2
  • Konum Manisa
  • Ad Soyad B** D**
  • Mesajlar 4926
  • Beğeniler 784 / 3953
  • Ticaret 18, (%100)
Bilgi verdiğin için teşekkürler ancak bunun sistemin işleyişine olumsuz bir etkisi yok. Senin de yaptığın gibi en fazla "Meslek" kısmını boş bırakmış olursun :)
 

 

Ozi Ozi . Kullanıcı
  • Üyelik 10.12.2012
  • Yaş/Cinsiyet 29 / E
  • Meslek Devoloper
  • Konum Almanya
  • Ad Soyad H** K**
  • Mesajlar 3052
  • Beğeniler 1 / 941
  • Ticaret 50, (%100)
Daha farklı bir çok yöntemle aşılır o kısım takma bu kadar. Senin yaptığının daha kullanışlısı mevcut.
 

 

JumperTech JumperTech Üyeliği Durdurulmuş Banlı Kullanıcı
  • Üyelik 02.07.2016
  • Yaş/Cinsiyet 39 / E
  • Meslek Webmaster
  • Konum İstanbul Avrupa
  • Ad Soyad B** O**
  • Mesajlar 1705
  • Beğeniler 820 / 523
  • Ticaret 19, (%100)
admin

Asıl ben teşekkür ederim.

"Kişisel Mesaj" yani kullanıcı adı altında yazan mesaj da, aynı şekilde.

Tabi vbulletin buna bir çözüm bulmamış o ayrı mesele, vbulletin'e bildirmek gerekiyor zira benim şüphem bu ufak tefek yerlerde olan girdiler değil.

Örneğin bazı forum sitelerine admin kullanıcı adıyla kayıt olunabiliyor, "admin  " olarak kayıt olunca kullanıcı adı admin olarak kalıyor.

Açığın her türlüsü zarardır, ne ufağı ne de küçüğü.

Zaten bunu giderse, giderse vbulletin giderir. Kapsamlı bir düzenleme şart.

İyi çalışmalar dilerim.
 

 

wmaraci
wmaraci

bd bd WM Aracı Kullanıcı
  • Üyelik 26.10.2010
  • Yaş/Cinsiyet 34 / E
  • Meslek 2
  • Konum Manisa
  • Ad Soyad B** D**
  • Mesajlar 4926
  • Beğeniler 784 / 3953
  • Ticaret 18, (%100)
WM Aracı'nda kayıt kısmında tüm kontrol bizim kendi sistemimiz üzerinden yapılıyor. Bunun dışında da tüm üyeler tek tek incelenip yönetici onayından geçiyor.

Dediğim gibi şu an sadece profil bilgileri kısmında bu kullanılabilir. Ancak bunun da bize bir zararı olmadığı gibi size de bir faydası olmaz.

İyi çalışmalar.
JumperTech

kişi bu mesajı beğendi.

Site Ayarları
  • Tema Seçeneği
  • Site Sesleri
  • Bildirimler
  • Özel Mesaj Al