Ao amin'ny motera hamoronana forum an-tranonkala maro , mamela anao handamina fanafihana maromaro amin'ny fanatanterahana ny code PHP tsy misy dikany amin'ny mpizara. Olana raikitra amin'ny famoahana .
Ny vulnerability voalohany dia hita ao amin'ny maody amin'ny famoahana sy fandefasana hafatra manokana, ary mamela ny fanoloana ny code JavaScript (XSS), izay hotanterahina ao amin'ny navigateur rehefa mijery publication na hafatra voaray. Ny fanoloana JavaScript dia azo atao noho ny fiovam-po diso ny BBCodes napetraka ho HTML. Indrindra indrindra, ny tag
Β«
ary rehefa manodina BBCode "" dia hovana ho marika
βΉiframe src=Β»youtube.com/xyz[url]http://onload=evilCode()[/url]Β»βΊβΉ/iframeβΊ
, ary taorian'ny fanodinana ny BBCodes sisa tao
βΉiframe src=Β»youtube.com/xyzβΉa href=Β»http://onload=evilCode()Β»βΊ..Β»βΊβΉ/iframeβΊ
Noho izany, ny teny indroa ao amin'ny 'href="' dia manidy ny toetra "src" ary ny onLoad dia karakaraina ao anatin'ny tontolon'ny iframe.
Ny vulnerability faharoa dia mamela, raha manana zon'ny mpitantana forum ianao, mba hitahiry script PHP ao amin'ny rafitry ny fisie an-tranonkala ary handamina ny famonoana azy. Ny olana dia ao amin'ny kaody fitantanana style ho an'ny lohahevitra mavitrika, izay mamela ny famoronana CSS vaovao. Ny rakitra toy izany dia voatahiry miaraka amin'ny fanitarana ".css", fa ny haben'ny saha ao amin'ny tahiry miaraka amin'ny anaran'ny rakitra dia voafetra ho 30 litera. Noho izany, azonao atao ny manonona ny rakitra "26characters.php.css". Rehefa manoratra amin'ny angon-drakitra dia ho tapaka ny tarehintsoratra fanampiny ary ho voatahiry amin'ny farany ny anarana hoe β26characters.phpβ. Avy eo, amin'ny alΓ lan'ny tontonana admin forum dia afaka mamorona fomba vaovao ianao ary hosoratana amin'ny lahatahiry "cache" miaraka amin'ny fanitarana php ny rakitra.
Mba hanatanterahana fanafihana dia afaka mandefa hafatra novolavolaina manokana amin'ny mpitantana ny forum ny mpanafika na mamoaka hafatra mitovy amin'izany ao amin'ny forum. Rehefa mijery ity hafatra ity amin'ny navigateur ho ampahany amin'ny fotoam-pivoriana amin'izao fotoana izao ao amin'ny forum ary miaraka amin'ny zon'ny mpampiasa mijery ilay hafatra, ny code JavaScript nofaritan'ny mpanafika dia hovonoina. Raha hitan'ny administratera ny hafatra, dia vulnerable faharoa no araraotina hanatanterahana ny kaody PHP ao anatin'ny sehatry ny fivoriana manokana.
Source: opennet.ru
