LinkBack URL
About LinkBacksJoomla! v1.5 + v1.6 JFilterInput XSS Bypass
Details: http://www.exploit-db.com/exploits/16091/
wieder Sicherheitslücke in beiden Joomla-Versionen
Joomla! v1.5 + v1.6 JFilterInput XSS Bypass
Details: http://www.exploit-db.com/exploits/16091/
-------- Gruß, Myrtus --------
www.myrtus-communis.de
Bei dieser Lücke ist die Ursache aber der Admin. Nicht vertrauenswürdige Nutzer dürfen kein HTML eingeben, fertig. Wer mehr zuläßt, ist mit dem Klammerbeutel gepudert.
Ich halte den Versuch für sinnlos, den Code sicher zu filtern. Solange HTML möglich ist, wird irgendjemand immer einen Weg finden, den Filter zu umgehen. Deshalb: Nicht vertrauenswürdige Nutzer dürfen ausschließlich reinen Text eingeben, Bilder und andere Dateien über eine separate Schnittstelle, die den Inhalt prüft. Dann sind alle diese Lücken generell geschlossen.
Danke?
Keine Macht den Facebutts!
"Dinner for one ist jeden Tag" oder "Und täglich grüßt das Murmeltier"
Sehe ich genauso.Zitat von Joomla-Hilfe
Bei Erweiterungen ist eben darauf zu achten welche Möglichkeiten der Codeeingabe diese zulassen.
Das betrifft insbesondere Community Extensions.
Meine Kristallkugel hat einen Sprung und die Tarotkarten hat's vom Tisch geweht. Detailierte Informationen sind hilfreich.
We offer three kinds of service: good - chea p - fast. u can pick 2 of them
FAQ vorn im Forum gelesen?
Berechtigungen
Zitieren
Lesezeichen