+- MyBB Depo Forum (https://mybbdepo.com)
+-- Forum: MyBB 1.6 Depo (https://mybbdepo.com/mybb-1-6-depo-forumu)
+--- Forum: MyBB 1.6 Çözülmüş Soru ve Sorunlar (https://mybbdepo.com/mybb-1-6-cozulmus-soru-ve-sorunlar-forumu)
+--- Konu Başlığı: Mybb 1.6.12 Xss Keşfi (/mybb-1-6-12-xss-kesfi-konusu.html)
Mybb 1.6.12 Xss Keşfi - istanbul123 - 11-02-2014
Site Adresi : Kod:
www.turkteam.org
MyBB Sürümü : Pro 1.6.12
Kurulu Eklentiler :
Sorun açıklaması :
Hata Ekran Görüntüsü :Pro sürümunde video'daki gibi bir hata gelmiyor ama arama bölumune kodu girince mybb sql hatası geliyor.
Bunu nasil fixleriz.
Cvp: Mybb 1.6.12 Xss Keşfi - devmybb - 11-02-2014
AdminKP > Ayarlar > Gelişmiş Arama Sistemi => Tam Metin Arama seçeneğini seçip kaydedin.
Cvp: Mybb 1.6.12 Xss Keşfi - istanbul123 - 11-02-2014
Bunun bi işe yaricagını zannetmem cunku normal 1.6.12 sürümlerinde xss alert veriyor
Cvp: Mybb 1.6.12 Xss Keşfi - devmybb - 12-02-2014
(11-02-2014, Saat:22:23)istanbul123 Adlı Kullanıcıdan Alıntı: Bunun bi işe yaricagını zannetmem cunku normal 1.6.12 sürümlerinde xss alert veriyorBana kalırsa hiçbirşey denemeden olmaz diye yorum yazdınız. Olmuyorsa dediğim ayarı yapmazsınız olur biter..
Ayar değiştirmeden search.php kod ekleyerek de olabilir.
Bul:
Kod:
switch($mybb->input['action'])Üstüne ekle:
Kod:
$mybb->input['action'] = $mybb->get_input['action'];Cvp: Mybb 1.6.12 Xss Keşfi - istanbul123 - 12-02-2014
Demek istedigim şu benim ihtiyaçım yok çünku pro sürümlerde bu xss gelmiyor sql error verdiriyor ki oda birşeye yaramiyor ben söyledimki yetkililerin aklında bulunsun
Cvp: Mybb 1.6.12 Xss Keşfi - devmybb - 12-02-2014
Bu işin prosu falan olmaz onda da hata verir eğer search.php dosyası editlenmezse hepsinde hata verir..
Ecnebinin biri xss açığı bulmuş ve nasıl düzeltileceğini de belirtmiş.. Bizim çok bilmiş lamerler de kendi sitelerinde sadece açığı yayınlayıp bir halt işlemiş gibi üye çekip gündem oluşturma peşinde..
Elin ecnebisi bile bizden 100 kat daha dürüst, bakın çözümü ile birlikte konunun aslı burada ve bugün konuyu editleyip hata şekline kendi sitelerinin adı gelecek şekilde hata vermesini sağlamışlar ve videoyu da kaldırmışlar. Bu konudaki videoda da orjinal link görünüyor zaten..
Kod:
http://osandamalith.wordpress.com/2014/02/02/mybb-1-6-12-post-xss-0dayBunu nasıl fixleriz şeklinde konu açıyorsunuz, gereken cevabı veriyoruz ve sonrada benim ihtiyacım yok diyorsun.. Yöneticiler kapatsın artık şu konuyu lütfen sıkıldım bu tip şeylerden....