php Kolay Forum (phpKF) Hakkında - xss açıkları

[ Hakkında | Sürüm Kaydı | Kurulum Klavuzu - Video | Ekip ]

phpKF Nedir

phpKF Nedir ?
php Kolay Forum; php ve MySQL destekli, kullanımı kolay, yönetim masası üzerinden birçok özelliği kontrol edilebilen, açık kaynaklı ve tamamen ücretsiz bir forum uygulamasıdır.

Tamamiyle sıfırdan geliştirilmiş, başka hiçbir foruma benzemeyen, %100 Türk yapımı bir sistemdir.
Forum tek başına kullanılabildiği gibi, phpKF için hazırlanmış phpKF-Portal ile beraber %100 uyumlu bir şekilde de kullanılabilir.
Kullanmak için tek yapmanız gereken buradan forum betiğini (script) indirip, PHP ve MySQL destekli bir sunucuda kurmak.

- Güncel Sürümler -
phpKF v1.50 çıktı (29.09.2008) - phpKF-Portal v1.10 (21.07.2008)

Forum Ana Sayfası » php Kolay Forum (phpKF) Hakkında
» xss açıkları

xss açıkları (gösterim sayısı: 177)
Yazan	Konu içeriği
Raiden [bilinmiyor] Kayıt Tarihi: 03.03.2008 İleti Sayısı: 5 Şehir: Bursa Durum: Forumda Değil E-Posta Gönder Özel ileti Gönder	Konu Tarihi: 21.03.2008- 22:35 daha önceden bulduğum açıkları phpkf yazarına bildirdim o da kapatmıştı lakin halen bazı şeyler uygulanabiliyor örn: ................ yukarıdaki linke tıklandığında alert şeklinde çerez bilgilerinizi göreceksiniz... bir diğer husus ise bbcode [ img ] kısmında ortaya çıkıyor bundan etkilenen yine ie6.0 bu xss ise şöyle ............... görüldüğü gibi ............. bu karakterleri escape edemiyor ve javascript:alert(document.cookie) olarak yazmakta... sonuç olarak şöyle bir çıktı basılıyor: ............ Yine diğer Bir Yöntem: .................. şeklinde bir link yine sonucu gösteriyor bize. bunlar şuan pek sorun teşkil etmese de yine de sinir bozucu şeyler.. iyi çalışmalar Düzenlenme Nedeni: Açık kapatılana kadar, kötü amaçlı kullanılmasını engellemek için kodları siliyorum.
	Conquer Online Conquer Ayva İnegöl __________________ Bu ileti en son yonetici* tarafından 21.03.2008- 23:10 tarihinde, toplamda 6 kez değiştirilmiştir.*
Cvp: Cevap: 1
Yazan	Cevap içeriği
harrypotter [kim acaba] Kayıt Tarihi: 25.02.2008 İleti Sayısı: 28 Şehir: İstanbul Durum: Forumda Değil E-Posta Gönder Özel ileti Gönder	Cevap Tarihi: 21.03.2008- 22:46 evet yha bide çoğu sitede olan ve bu sitedede olan http://www.phpkf.com/hata.php?hata_iletisi=A%C7%FDk-VaR-HaCKlenir vb şeyler çok sinir bozucu zararı yok ama lamerler için kendileri hacklediklerini sanıolar bir örnek daha http://www.phpkf.com/hata.php?hata_iletisi=Hacked%20By%20Lamer%20:%20%C7ok%20Sinir%20%DEey

Cvp: Cevap: 2
Yazan	Cevap içeriği
yonetici [Adem YILMAZ] phpKF Ekip Başkanı Kayıt Tarihi: 30.11.2006 İleti Sayısı: 1.285 Şehir: İstanbul Durum: Gizli E-Posta Gönder Web Adresi Özel ileti Gönder	Cevap Tarihi: 21.03.2008- 23:13 Daha öncede şimdide açıkları bildirdiğiniz için teşekkürler. Daha önce bildirdiğiniz açığı kapatmıştım. Keşke bunuda özelden yazıp kapatıldıktan sonra bu konuyu açsaydınız. Bu arada url kodlu verdiğiniz satır işe yaramadı ama belki ufak bir imla hatası yapmışsınızdır, çünkü url decode eskiden vardı yazılarda sorun oluyor diye kaldırdım. Onu işe yarayanı varsa bana özelden yolllarmısınız. Bu arada harrypotter sizin bahsettiğiniz ise bir açık değil, evet sinir bozucu bir durum. Bu hata.php sayfasının yapısını yeni sürümde değiştireceğim ve bu sinir bozucu durumlar bir daha oluşmayacak.
	phpKF Sürüm 1.50 - phpKF-Portal Sürüm 1.10 __________________ Bu ileti en son yonetici* tarafından 21.03.2008- 23:17 tarihinde, toplamda 2 kez değiştirilmiştir.*
Kapatma yöntemi Cevap: 3
Yazan	Cevap içeriği
yonetici [Adem YILMAZ] phpKF Ekip Başkanı Kayıt Tarihi: 30.11.2006 İleti Sayısı: 1.285 Şehir: İstanbul Durum: Gizli E-Posta Gönder Web Adresi Özel ileti Gönder	Cevap Tarihi: 22.03.2008- 01:54 Arkadaşlar bahsi geçen açığı kapatmak için yapılması gerekenleri yazıyorum: "mesaj_yaz_yap.php" , "mesaj_degistir_yap.php" "oi_yaz_yap.php" Bu dosyalarda aşağıdaki kodu bulun: // img etiketiyle çerez çalma girişimi engelleniyor // $bul = array('[img]javascript', '[img] javascript', '[IMG]javascript', '[IMG] javascript'); $cevir = array('.', '.', '.', '.'); Şu şekilde değiştirin: // img etiketiyle çerez çalma girişimi engelleniyor // $bul = array('[img]javascript', '[img] javascript', '[IMG]javascript', '[IMG] javascript', '[img]JAVASCRIPT', '[img] JAVASCRIPT', '[IMG]JAVASCRIPT', '[IMG] JAVASCRIPT'); $cevir = array('.', '.', '.', '.', '.', '.', '.', '.');
	phpKF Sürüm 1.50 - phpKF-Portal Sürüm 1.10
Cvp: Cevap: 4
Yazan	Cevap içeriği
yonetici [Adem YILMAZ] phpKF Ekip Başkanı Kayıt Tarihi: 30.11.2006 İleti Sayısı: 1.285 Şehir: İstanbul Durum: Gizli E-Posta Gönder Web Adresi Özel ileti Gönder	Cevap Tarihi: 22.03.2008- 01:55 Ayrıca hata.php sayfasında şu kodu buluyoruz: Kod Çizelgesi Dil Seçin: Hepsini Seç if ( isset($_GET['hata_iletisi']) ) { $sayfa_adi = 'Hata iletisi'; if ( (eregi('<script', $_GET['hata_iletisi']) == 1) OR (eregi('<iframe', $_GET['hata_iletisi']) == 1) ) $_GET['hata_iletisi'] = 'ZARARLI KOD GÖNDERME GİRİŞİMİ !<p>DURUMU YÖNETİCİYE BİLDİRİN.'; } elseif ( isset($_GET['uyari_iletisi']) ) { $sayfa_adi = 'Uyarı iletisi'; if ( (eregi('<script', $_GET['uyari_iletisi']) == 1) OR (eregi('<iframe', $_GET['uyari_iletisi']) == 1) ) $_GET['uyari_iletisi'] = 'ZARARLI KOD GÖNDERME GİRİŞİMİ !<p>DURUMU YÖNETİCİYE BİLDİRİN.'; } elseif ( isset($_GET['bilgi_iletisi']) ) { $sayfa_adi = 'Bilgi iletisi'; if ( (eregi('<script', $_GET['bilgi_iletisi']) == 1) OR (eregi('<iframe', $_GET['bilgi_iletisi']) == 1) ) $_GET['bilgi_iletisi'] = 'ZARARLI KOD GÖNDERME GİRİŞİMİ !<p>DURUMU YÖNETİCİYE BİLDİRİN.'; } Bununla değiştiriyoruz: Kod Çizelgesi Dil Seçin: Hepsini Seç if ( isset($_GET['hata_iletisi']) ) { $sayfa_adi = 'Hata iletisi'; if ( (eregi('<script', $_GET['hata_iletisi']) == 1) OR (eregi('<iframe', $_GET['hata_iletisi']) == 1) OR (eregi('document.cookie', $_GET['hata_iletisi']) == 1) ) $_GET['hata_iletisi'] = 'ZARARLI KOD GÖNDERME GİRİŞİMİ !<p>DURUMU YÖNETİCİYE BİLDİRİN.'; } elseif ( isset($_GET['uyari_iletisi']) ) { $sayfa_adi = 'Uyarı iletisi'; if ( (eregi('<script', $_GET['uyari_iletisi']) == 1) OR (eregi('<iframe', $_GET['uyari_iletisi']) == 1) OR (eregi('document.cookie', $_GET['uyari_iletisi']) == 1) ) $_GET['uyari_iletisi'] = 'ZARARLI KOD GÖNDERME GİRİŞİMİ !<p>DURUMU YÖNETİCİYE BİLDİRİN.'; } elseif ( isset($_GET['bilgi_iletisi']) ) { $sayfa_adi = 'Bilgi iletisi'; if ( (eregi('<script', $_GET['bilgi_iletisi']) == 1) OR (eregi('<iframe', $_GET['bilgi_iletisi']) == 1) OR (eregi('document.cookie', $_GET['bilgi_iletisi']) == 1) ) $_GET['bilgi_iletisi'] = 'ZARARLI KOD GÖNDERME GİRİŞİMİ !<p>DURUMU YÖNETİCİYE BİLDİRİN.'; }
	phpKF Sürüm 1.50 - phpKF-Portal Sürüm 1.10
Cvp: Cevap: 5
Yazan	Cevap içeriği
ByLegenS [YÜCEL] phpKF Ekip Üyesi Kayıt Tarihi: 29.01.2008 İleti Sayısı: 358 Şehir: Gizli Durum: Gizli E-Posta Gönder Web Adresi Özel ileti Gönder	Cevap Tarihi: 22.03.2008- 06:14 teşekkurler...
	phpKF Sürüm 1.40 phpKF-Portal Sürüm 1.10
Cvp: Cevap: 6
Yazan	Cevap içeriği
harrypotter [kim acaba] Kayıt Tarihi: 25.02.2008 İleti Sayısı: 28 Şehir: İstanbul Durum: Forumda Değil E-Posta Gönder Özel ileti Gönder	Cevap Tarihi: 22.03.2008- 10:06 teşekkürler adminim ..

Forum Ana Sayfası » php Kolay Forum (phpKF) Hakkında
» xss açıkları

Forum Ana Sayfası

- PHP KOLAY FORUM -

RSS Beslemesi: