Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » IkonBoard и другие форумы » Ikonboard v.2 » Баг с Яваскриптом (javascript) во всех версиях IkonBoard

Модерирует : Antuan

 Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4

Открыть новую тему     Написать ответ в эту тему

Potap



Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
При заходе в этот топик вы заметили всплывающее окно? Подскажите как можно сделать, чтобы нельзя было такое делать? Представьте если в каждом топике будет по такому окну да и еще не по одному. Это же так раздражать будет.
[CLASSIFIED]
 
 Решение на 14.02.2005 г. Для закрытия уязвимости сделайте следующее:
 
в файле ikon.lib
 
sub ikoncode  делаем изменения. Подпрограмма, после изменения, должна выглядеть так:

Код:
 
sub ikoncode {
 
    my $post = shift;    
 
###not java### by DimoN
 $post =~ s/(\[img\])(.*?)(script:)(.*?)(\[\/img\])/$2$3$4\[<font color=red>Недопустимое действие! :moderator:<\/font>\]/isg;  
###not java end###  
###not view-source &mailto###
 $post =~ s/(\[img\])(.*?)(view-source:)(.*?)(\[\/img\])/$2$3$4\[<font color=red>Недопустимое действие! :moderator:<\/font>\]/isg;  
 $post =~ s/(\[img\])(.*?)(mailto:)(.*?)(\[\/img\])/\[<font color=red>Недопустимое действие! :moderator:<\/font>]/isg;    
 
###not view-source end###  
    $post =~ s/\<p>//isg;
    $post =~ s|\[\[|\{\{|g;
    $post =~ s|\]\]|\}\}|g;
    $post =~ s|\n\[|\[|g;
    $post =~ s|\]\n|\]|g;
    $post =~ s|<br>| <br>|g;
    $post =~ s|\[hr\]\n|\<hr width=40\% align=left>|g;
    $post =~ s|\[hr\]|\<hr width=40\% align=left>|g;
     
    ##таблица
     $post =~ s/\[table\]\[tr\]/\[table\]/isg;      
     while ($post =~ s{\[table\]([\S\s].+?[\S\s])\[/table\]}  
        {my $Tmp = $1;  
        $Tmp =~ s/\<br>/ /g;  
        $Tmp =~ s/\[tr\]/ <\/td><\/tr><tr class=lgf><td>/g;  
            $Tmp =~ s/\[tab\]/ <\/td><td>/g;  
            $Tmp = qq|<table cellpadding=\"3\" cellspacing=\"0\" bgcolor=\"#FFFFFF\" width=\"75%\" border=\"1\" bordercolor=\"#EEEEEE\"><tr class=lgf><td>$Tmp<\/td><\/tr><\/table>|;  
         }exisog) {}  
## end таблица          
     
     
    $post =~ s/\[q\]\s*(.*?)\s*\[\/q\]/<blockquote class=n2><span class=s>Цитата:<\/span><hr noshade size=1>$1<hr noshade size=1><\/blockquote>/isg;
    $post =~ s/\[quote\]\s*(.*?)\s*\[\/quote\]/<blockquote class=n2><span class=s>Цитата:<\/span><hr noshade size=1>$1<hr noshade size=1><\/blockquote>/isg;
   
    $post =~ s/\[url\](\S+?)\[\/url\]/<a href=\"$1\"\ target=\"_blank\">$1<\/a>/isg;
    $post =~ s/\[url=http:\/\/(\S+?)\]/<a href=\"http:\/\/$1\"\ target=\"_blank\">/isg;
    $post =~ s/\[url=(\S+?)\]/<a href=\"http:\/\/$1\"\ target=\"_blank\">/isg;
    $post =~ s/\[\/url\]/<\/a>/isg;
 
    $post =~ s/(^|\s|\<br\>)(http:\/\/\S+)/$1<a href="$2" target=_blank>$2<\/a> /isg;  
    $post =~ s/(^|\s|\<br\>)(https:\/\/\S+)/$1<a href="$2" target=_blank>$2<\/a> /isg;  
    $post =~ s/(^|\s|\<br\>)(ftp:\/\/\S+)/$1<a href="$2" target=_blank>$2<\/a> /isg;  
    $post =~ s/(^|\s|\<br\>)(www\.\S+)/$1<a href="http:\/\/$2" target=_blank>$2<\/a> /isg;
 
 
# Добавляем новые коды [c] и [s]
 
    $post =~ s/\[c\](.*?)\[\/c\]/<center>$1<\/center>/isg;
    $post =~ s/\[s\](.*?)\[\/s\]/<span class=s>$1<\/span>/isg;
 
    $post =~ s/\[b\]/<b>/isg;
    $post =~ s/\[\/b\]/<\/b>/isg;
    $post =~ s/\[i\]/<i>/isg;
    $post =~ s/\[\/i\]/<\/i>/isg;
    $post =~ s/\[u\]/<u>/isg;
    $post =~ s/\[br\]/<br>/isg;
    $post =~ s/\[\/u\]/<\/u>/isg;
    $post =~ s/\[img\](.+?)\[\/img\]/<img src=\"$1\">/isg;
     
#Опять фиксим яву by batva
$post =~ s/(\[size=)(\d+)\](.+?)(\[\/size\])/<font size=\"$2\">$3<\/font>/isg;    
$post =~ s/(\[font=)([A-Z a-z-]+)\](.+?)(\[\/font\])/<font face=\"$2\">$3<\/font>/isg;
$post =~ s/(\[color=)([A-Za-z]+|[#\dA-F]+)\](.+?)(\[\/color])/<font color=\"$2\">$3<\/font>/isg;  
#end фиксим яву  
     
    $post =~ s/\[\/color\]/<\/font>/isg;
    $post =~ s/\\http:\/\/(\S+)/<a href=\"http:\/\/$1\"\ target=\"_blank\">http:\/\/$1<\/a>/isg;
    $post =~ s/(\[list\])(.+?)(\[\/list\])/<UL>$2<\/UL>/isg;
    $post =~ s/(\[list=)(A|1)(\])(.+?)(\[\/list\])/<OL TYPE=$2>$4<\/OL>/isg;
    $post =~ s/(\[\*\])/<LI>/isg;
    $post =~ s/\[code\](.+?)\[\/code\]/<blockquote><font size=\"1\" face=\"Courier New\">Код:<\/font><hr><font face=\"Courier New\" size=\"2\"><pre>$1<\/pre><\/font><hr><\/blockquote>/isg;      
    $post =~ s/\[code\](.+?)\[\/code\]/<blockquote><font size=\"1\" face=\"Courier New\">Код:<\/font><hr><font face=\"Courier New\"><pre>$1<\/pre><\/font><hr><\/blockquote>/isg;
 
#Выключаем автоподсветку мыла DimoN    
    #$post =~ s/(\S+?)\@(\S+)/<a href=\"mailto:$1\@$2\"\>$1\@$2<\/a>/ig;
    $post =~ s/\[email=(\S+?)\]/<a href=\"mailto:$1\">/isg;
    $post =~ s/\[\/email\]/<\/a>/isg;
    $post =~ s/(\[FLASH SIZE=1\])(.+?)(\[\/FLASH\])/<OBJECT WIDTH=80 HEIGHT=60><PARAM NAME=movie VALUE="$2"><PARAM NAME=quality VALUE=high><PARAM NAME=scale VALUE=exactfit><PARAM NAME=menu VALUE=false><PARAM NAME=bgcolor VALUE=$BGColor><EMBED src="$2" quality=high menu=false scale=exactfit WIDTH=80 HEIGHT=60 swLiveConnect=true TYPE="application\/x-shockwave-flash"><\/EMBED><\/OBJECT>/isg;
    $post =~ s/(\[FLASH SIZE=2\])(.+?)(\[\/FLASH\])/<OBJECT WIDTH=160 HEIGHT=120><PARAM NAME=movie VALUE="$2"><PARAM NAME=quality VALUE=high><PARAM NAME=scale VALUE=exactfit><PARAM NAME=menu VALUE=false><PARAM NAME=bgcolor VALUE=$BGColor><EMBED src="$2" quality=high menu=false scale=exactfit WIDTH=160 HEIGHT=120 swLiveConnect=true TYPE="application\/x-shockwave-flash"><\/EMBED><\/OBJECT>/isg;
    $post =~ s/(\[FLASH SIZE=3\])(.+?)(\[\/FLASH\])/<OBJECT WIDTH=320 HEIGHT=240><PARAM NAME=movie VALUE="$2"><PARAM NAME=quality VALUE=high><PARAM NAME=scale VALUE=exactfit><PARAM NAME=menu VALUE=false><PARAM NAME=bgcolor VALUE=$BGColor><EMBED src="$2" quality=high menu=false scale=exactfit WIDTH=320 HEIGHT=240 swLiveConnect=true TYPE="application\/x-shockwave-flash"><\/EMBED><\/OBJECT>/isg;
    $post =~ s/(\[FLASH=)(\S+?)(\,)(.+?)(\])(.+?)(\[\/FLASH\])/ <embed src="$6" menu=false scale=exactfit HEIGHT="$4" WIDTH="$2" quality="high"><\/embed> /isg;
    $post =~ s/(\[center\])(.+?)(\[\/center\])/<center>$2<\/center>/isg;
    $post =~ s/(\[sound\])(\S+?)(\.mid|\.midi|\.wav)(\[\/sound\])/<EMBED SRC="$2$3" AUTOSTART=FALSE LOOP=FALSE WIDTH=100><\/EMBED> /isg;
    $post =~ s|\{\{|\[|g;
    $post =~ s|\}\}|\]|g;
     
    return $post;    
 
    } # end routine
     
     

 
Фиксятся две XSS-дырки (.http://www.securitylab.ru/46410.html):
Вариант 1:
В misc.cgi
после
Код:
elsif ($action eq "icq") {

ставим:
Код:
$UIN=&cleaninput($UIN);

после
Код:
elsif ($action eq "aim") {

ставим:
Код:
$aimname=&cleaninput($aimname);

Вариант 2:
находим в misc.cgi эту строчку:

Код:
elsif ($action eq "icq") {

добавляем после неё
Код:
if($UIN!~m!^\d+$!){
print header ();
&error('&Неправильный UIN ICQ');
}
else{

+ ставим закрыівающую фигурную скобку чуть ниже тут:

Код:
 
    ~;}
 
} # end elsif icq
 

 
Далее по AIM то же самое:
находим
Код:
elsif ($action eq "aim") {

добавляем после него
 
Код:
if($aimname!~m!^[\-A-Z a-z\d_]+$!){
print header ();
&error('&Неправильное имя AIM');
}
else{

и ниже закрываем скобку тут:

Код:
    ~;}
 
 
} # end aim


Первый вариант проводит стандартную замену "опасных" символов, второй — проверяет валидность номера ICQ и имени пользователя AIM'а.
 

+ сейчас при регистрации в поля ICQ и AOL можно вписать что угодно. Если нужна проверка их валидности, можно сделать следующее:
в register.cgi:
находим:

Код:
if($emailaddress !~ /^.+\@(\[?)[a-zA-Z0-9\-\.]+\.([a-zA-Z]{2,3}|[0-9]{1,3})(\]?)$/) { print header('text/html; charset=windows-1251'); &error("$ibtxt{'1858'}&$ibtxt{'0906'}"); }

ниже добавляем:  

Код:
if($aolname and $aolname!~m!^[\-A-Z a-z\d_]+$!){    
print header('text/html; charset=windows-1251');    
&error("&Неверное имя пользователя AIM!");    
}    
if($icqnumber and $icqnumber!~m!^\d+$!){    
print header('text/html; charset=windows-1251');    
&error("&Неверный ICQ UIN!");    
}  

profile.cgi
после строки:

Код:
$inuseravatar           = $query -> param('useravatar');

Добавляем:

Код:
if($newaolname && $newaolname!~m!^[\-A-Z a-z\d_]+$!){  
print header('text/html; charset=windows-1251');  
&error("&Неверное имя пользователя AIM!");  
}  
 
if($newicqnumber && $newicqnumber!~m!^\d+$!){  
print header('text/html; charset=windows-1251');  
&error("&Неверный ICQ UIN!");  
}  

   
 
 
 
 
 
 
 

Всего записей: 285 | Зарегистр. 06-07-2001 | Отправлено: 12:03 03-11-2001 | Исправлено: trew, 21:27 14-02-2005
lynx



Advanced lynx
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
uucyc

Цитата:
где я могу забанить IPишки?  

Надо ставить хак специальный. Глянь в файловом архиве.

Всего записей: 11712 | Зарегистр. 08-05-2001 | Отправлено: 12:10 19-11-2001
yurezg2



Advanced Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
я проще сделал
в админцентре в фильтре плохих слов написал javascript=ява
типа того
и не надо ничего банить
просто у человека, решившего запостить яву, ничего не получится

Всего записей: 623 | Зарегистр. 27-06-2001 | Отправлено: 16:11 19-11-2001
lynx



Advanced lynx
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
yurezg2
Ну-ка кинь ка  линк

Всего записей: 11712 | Зарегистр. 08-05-2001 | Отправлено: 16:38 19-11-2001
DimoN



Tech administrator
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Hot Fix NEW 20.11.2k1
 
ikon.lib

Код:
sub ikoncode {
 
# перед этим
    $post =~ s/\[img\](.+?)\[\/img\]/<img src=\"$1\">/isg;
 
#добавить это
$post =~ s/(\[img\])(.*?)(script:)(.*?)(\[\/img\])/$2$3$4\[<font color=red>Предупреждение :moderator:<\/font>\]/isg;
 



----------
Мы Баним с улыбкой :) ™

Всего записей: 7528 | Зарегистр. 19-04-2001 | Отправлено: 00:41 20-11-2001
uucyc

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
А как сделать, чтобы закрывающие тэги таблицы на распознавало, как часть HTML кода, а-то у меня если ввести </td></tr></table> то таблица закрывается и получается беспредел!
 
Спасибо всем, кто уделит своё время и подскажет!
Иван

Всего записей: 4 | Зарегистр. 19-11-2001 | Отправлено: 01:51 20-11-2001
yurezg2



Advanced Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
uucyc запрети html и все

Всего записей: 623 | Зарегистр. 27-06-2001 | Отправлено: 10:46 20-11-2001
DimoN



Tech administrator
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Кстати в IB3 RC3 этот баг еще пашет даже при выключеными в админцентре "динамическими картинками"
но только при определенных условиях
ща пойду на оффициальный форум разработчиков и опять их раскумарю

----------
Мы Баним с улыбкой :) ™

Всего записей: 7528 | Зарегистр. 19-04-2001 | Отправлено: 02:15 08-12-2001
Kovu



Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Интересно, а обновление дистрибутива в файловом архиве идет, всвязи с обнаружением новых "недокументированных возможностей".

Всего записей: 354 | Зарегистр. 23-07-2001 | Отправлено: 05:01 08-12-2001
DimoN



Tech administrator
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Kovu
А IB3 RC3 только на офф сайте лежит. Его у нас нет

----------
Мы Баним с улыбкой :) ™

Всего записей: 7528 | Зарегистр. 19-04-2001 | Отправлено: 11:01 08-12-2001
Max Payne



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
DimoN
Я вот вставил перед
Цитата:
$post =~ s/\[img\](.+?)\[\/img\]/<img src=\"$1\">/isg;
как ты сказал,вот это
Цитата:
$post =~ s/(\[img\])(.*?)(script(.*?)(\[\/img\])/$2$3$4\[<font color=red>Предупреждение <\/font>\]/isg;

И что из этого? У меня в общее перестал форум грузиться
Пытаюсь открыть, открывается чистый лист и в title написано анлимитд документ
Как быть?

Всего записей: 986 | Зарегистр. 08-12-2001 | Отправлено: 04:05 14-12-2001 | Исправлено: Max Payne, 04:06 14-12-2001
lynx



Advanced lynx
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Max Payne
Из-за одной этой неправильной строчки не может такого быть.
Верни старый файл (надеюсь,  сделал бэкап?)
Запусти конфу, если все работает, еще раз аккуратно поменяй строчку.

Всего записей: 11712 | Зарегистр. 08-05-2001 | Отправлено: 14:30 14-12-2001
DimoN



Tech administrator
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
Из-за одной этой неправильной строчки не может такого быть.  

может
 

Цитата:
Верни старый файл (надеюсь,  сделал бэкап?)  
Запусти конфу, если все работает, еще раз аккуратно поменяй строчку.  


 
Max Payne
Кроме тебя кто нибудь пожаловался? Делай выводы

----------
Мы Баним с улыбкой :) ™

Всего записей: 7528 | Зарегистр. 19-04-2001 | Отправлено: 04:25 15-12-2001
Max Payne



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
А что мне делать выводы?
Правил я так как ты сказал, после этого говорю пустая страница стала только открываться.
lynx самом собой что я сделал бэкап и всё вернул обратно.

Всего записей: 986 | Зарегистр. 08-12-2001 | Отправлено: 04:55 15-12-2001
pechalny



Advanced Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору

Цитата:
анлимитд документ  

скорее untitled

Цитата:
Из-за одной этой неправильной строчки не может такого быть.  

А в .lib'ах может.У меня такое было, когда пытался в иконрашн очепятки исправить

----------
cynicism is the only thing that keeps me sane

Всего записей: 1852 | Зарегистр. 29-07-2001 | Отправлено: 11:44 15-12-2001
Ausw



Moderator
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
NEW!  

Цитата:
[img]mailto:pop@smtp.ru[/img]

у кого дефолтом аутлук - произойдет автозапуск оного. :gigi: весело!  
 
правим и говорим спасибо Pechalnoму за наводку: (а напиво мне :gigi: )
 
ikon.lib. перед  

Цитата:
$post =~ s/\[img\](.+?)\[\/img\]/<img src=\"$1\">/isg;


Цитата:
$post =~ s/(\[img\])(.*?)(mailto:)(.*?)(\[\/img\])/<font color=red>\[Предупреждение :moderator:ip: $postipaddress\]<\/font>/isg;  



----------
Be High.

Всего записей: 7371 | Зарегистр. 12-07-2001 | Отправлено: 18:50 05-01-2002 | Исправлено: Ausw, 18:51 05-01-2002
roma



skydiver
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
кстати под Оперу сия фишка не пашет, под нетскейп не проверялась...
да, а на руборде уже исправлено, кстати...

Всего записей: 2890 | Зарегистр. 10-09-2001 | Отправлено: 21:21 05-01-2002
roma



skydiver
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
UP! господа...
 

Код:
[img]view-source:http://forum.ru-board.com/board.cgi[/img]

 
если у пользователя форума стоит ие 5.5 и вроде даже 6.0 (не проверял)
если у пользователя дефолтовым редактором хтмл стоит блокнот
то после загрузки страницы откроется блокнот с содержимым того на что указывает ссылка после слов view-source:, в данном случае в блокноте откроется результат работы боард.цги  
не смертельно но жить слегка мешает... замедляет загрузку, поскольку загружает ещё и то что собирается показать - лишний трафик для юзера опять же...
 
как лечить: также как и javascript: и mailto:

----------
ну и на кой мне эта подпись?

Всего записей: 2890 | Зарегистр. 10-09-2001 | Отправлено: 15:23 13-05-2004 | Исправлено: roma, 21:11 13-05-2004
lynx



Advanced lynx
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
roma
 
Большое спасибо.
 

Цитата:
как лечить: также как и javascript: и mailto:

 
Для тех, кто не понял, лечить так:
в ikon.lib в sub ikoncode
после    
 

Код:
my $post = shift;    
 

 
добавить:
 

Код:
 
 $post =~ s/(\[img\])(.*?)(view-source:)(.*?)(\[\/img\])/$2$3$4\[<font color=red>Недопустимое действие! :moderator:<\/font>\]/isg;
 

 

Всего записей: 11712 | Зарегистр. 08-05-2001 | Отправлено: 02:52 27-05-2004 | Исправлено: lynx, 03:03 27-05-2004
Svarga

Moderator
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
(script:)


Цитата:
(mailto:)


Цитата:
(view-source:)

 
Короче, финальная версия такая получается вместо отдельных фиксов?
 

Цитата:
 $post =~ s/(\[img\])(.*?)(view-source:|script:|mocha:|mailto:|about:|shell:)(.*?)(\[\/img\])/$2$3$4\[<font color=red>Нехорошая картинка! :moderator:<\/font>\]/isg;

 
или лучше по отдельности всё?


----------
away.

Всего записей: 4161 | Зарегистр. 25-06-2002 | Отправлено: 08:00 17-07-2004 | Исправлено: Svarga, 08:01 17-07-2004
lynx



Advanced lynx
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Svarga

Цитата:
Короче, финальная версия такая получается вместо отдельных фиксов?  
 
 
Цитата:
 $post =~ s/(\[img\])(.*?)(view-source:|script:|mocha:|mailto:|about:|shell:)(.*?)(\[\/img\])/$2$3$4\[<font color=red>Нехорошая картинка! :moderator:<\/font>\]/isg;  
 
 
или лучше по отдельности всё?  

 
Вот так  финальная версия в текущем дистрибутиве:
 
ikon.lib
 

Код:
 
sub ikoncode {
 
    my $post = shift;    
 
###not java###
 $post =~ s/(\[img\])(.*?)(script:)(.*?)(\[\/img\])/$2$3$4\[<font color=red>Недопустимое действие! :moderator:<\/font>\]/isg;  
###not java end###  
###not view-source &mailto###
 $post =~ s/(\[img\])(.*?)(view-source:)(.*?)(\[\/img\])/$2$3$4\[<font color=red>Недопустимое действие! :moderator:<\/font>\]/isg;  
 $post =~ s/(\[img\])(.*?)(mailto:)(.*?)(\[\/img\])/\[<font color=red>Недопустимое действие! :moderator:<\/font>]/isg;    
 
###not view-source end###  
 

 
 
 
Добавлено
 
 
 
 
ВНИМАНИЕ!

 
Найдена новая уязвимость в IkonBoard V. 2, связанная с использованием javascript.
 
Уязвимость позволяет создавать алерты (всплывающие окна javascript) при использовании пейджера ICQ.
 
Подробнее:
http://www.securitylab.ru/46410.html
 
Проверить свой форум на наличие уязвимости можно, кликнув по ссылке вида:
 
http://адрес_вашего_форума_и_все_необходимые_папки/misc.cgi?action=icq&UIN=%3Cscript%3Ejavascript:alert('Уязвимость_есть')%3C/script%3E
 
 
Фикс.
 
misc.cgi
После:

Код:
 
elsif ($action eq "icq") {
 

 
Добавить:
 

Код:
 
$UIN=&cleaninput($UIN);  #пофиксили уязвимость пейджера
 

 
 
при этом подпрограмма cleaninput в ikon.lib
должна иметь вид:
 

Код:
 
sub cleaninput {
my $text = shift;
$text =~ s/<!--(.|\n)*-->//g;
$text =~ s/<script>/\&lt;script\&gt;/ig;
$text =~ s/<script/\&lt;script/ig;
$text =~ s/<scr/\&lt;\&\#115;\&\#099;&\#\114;/ig;
$text =~ s/\&/\&amp;/g;
$text =~ s/"/\&\#34;/g;
$text =~ s/  / \&nbsp;/g;
$text =~ s/</\&lt;/g;
$text =~ s/>/\&gt;/g;
$text =~ s/\|/\&#0124;/g;
$text =~ s/\t//g;
$text =~ s/\r//g;
$text =~ s/  / /g;
$text =~ s/\n\n/<p>/g;
$text =~ s/\n/<br>/g;
$text =~ s/\`/\&#96;/g;  
$text =~ s/\'/\&#39;/g;  
$text =~ s/\’/\&#146;/g;
return $text;
}
 

 
В текущем дистрибутиве:
 
Обзор форума IkonBoard V. 2 (карта форума)  » Файловый архив II  »  
IB219rus_fixed3.zip
 
указанная уязвимость пофиксена.
 
Авторы фиксов: batva & Svarga

Всего записей: 11712 | Зарегистр. 08-05-2001 | Отправлено: 03:02 20-07-2004 | Исправлено: lynx, 03:11 20-07-2004
Открыть новую тему     Написать ответ в эту тему

Страницы: 1 2 3 4

Компьютерный форум Ru.Board » IkonBoard и другие форумы » Ikonboard v.2 » Баг с Яваскриптом (javascript) во всех версиях IkonBoard

Имя:
Пароль:
Сообщение

Для вставки имени, кликните на нем.

Опции сообщенияДобавить свою подпись
Подписаться на получение ответов по e-mail
Добавить тему в личные закладки
Разрешить смайлики?
Запретить коды


Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.Board
© Ru.Board 2000-2018

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

Рейтинг.ru