Проведение атаки межсайтового скриптинга (XSS)

Проблема: При определенных условиях на сайт можно провести атаку XSS. Данными условиями является посещение авторизованным администратором, сайта злоумышленника, при этом использование администратором устаревшего браузера, что может привести к перехвату куков браузера.

SQL – инъекция в DLE-Forum 2.4

В DLE Forum 2.4 есть уязвимость, которая позволяет выполнять запросы в бд, и узнавать любую инфу, например о логинах и о паролях.

Суть DLE уязвимости: Если у вас на сайте есть пользователи которым разрешена загрузка фалов(не картинок) на сайт, то этот юзер имеет возможность указать путь загрузки не типичный для сохранения загружаемых файлом. Ещё хуже если юзер имеет права админа. В этом случае он может заменить своим файлом существующий и запустить его. Тем самым сделать он сможет что угодно с вашим сайтом. Тут уж дело за его фантазией и навыками.
DLE уязвимость работает на версиях: любые DLE

Уровень риска: Средняя (Высокая при наличии админов на сайте кроме вас самих хотя и Вас могут взломать и сделать каку)

DataLife Engine v.9.0" title="DataLife Engine v.9.0" />Уведомляем Вас, что в период с 2 июля 2010 года до 8 августа 2010 года в связи с отпусками будет приостановлена работа службы поддержки скрипта. Поэтому мы убедительно просим вас распланировать свои дела так, чтобы в этот период вам не нужна была служба поддержки. Если вы планируете менять домены, переезжать на другие хостинги и вы не уверены в своих силах, то лучше это сделать либо до вышеуказанного периода, либо после. На время отпуска будет приостановлена обработка ручных платежей. Однако вы сможете приобрести скрипт в автоматическом режиме, для этого необходимо пройти на страницу оплаты, выбрать тип лицензии и оплатить через систему WebMoney, после оплаты скрипта, доступ к дистрибутиву и ключ будет предоставлен для вашего логина автоматически.

Сайт шаблона: Xlusiv.net

Комплектация: IMG, TPL, CSS

Тип шаблона: Рип

Тест проводился на: DLE 8.3

Проверен в браузерах: Opera 10, IE8, Firefox 3.5

Автор рипа: BoskE

Релиз DLE: 8.3

ID продукта: 00067

Структура: две колонки (по вертикали)

Тип: фиксированный по ширине 1024 px

Наличие Macromedia Flash: отсутствует

Комплект поставки: .CSS, .TPL

Тип шаблона: РИП

При загрузке любого файла на сайт DLE добавляет префикс к файлу в формате unixtime (например 1266540926_yandex.jpg).

Проблема: Недостаточная фильтрация входящих данныхх в регистрации.
Ошибка в версии: все версии
Степень опасности: Низкая

Недостаточная фильтрация входящих данныхх в модуле восстановления пароля.

Ошибка в версии: только 8.2, версии ниже 8.2, а также актуальная версия 8.3 данной уязвимости не подвержены
Степень опасности: Очень высокая
Дистрибутив версии 8.2.

Фильтр входящих данныхх.

Проблема: Недостаточная фильтрация входящих данныхх.

Ошибка в версии: все версии
Степень опасности: Низкая, применима только на устаревших версиях браузера Opera

Проблема: Изменения в модулях.
Ошибка в версии: 8.0 и выше
Степень опасности: Нет

Как мы уже все знаем что начиная с выпуска DLE 7.5 некоторые модули не хотели подключатся или работали неправильно в админ центре. Начиная с DLE 8.0 появилась новая функция разрешить некоторым группам разрешить доступ к админ панели. Сейчас начиная с DLE 8.0 всё модули которые были написаны раньше уже не станут!!! Для этого я Разработал Баг Фикс для Модулей!!!!

Граббер для DLE

Сегодня я покажу вам, простейший и в то же время универсальный способ вывода новостей в две колонки с помощью CSS и jQuery.
Способ этот примечателен двумя моментами:
1 - Корректный вывод новостей, независимо от высоты каждой новости в отдельности (объясню этот момент пожже, если кому то не понятно).
2 - Если в браузере отключены яваскрипты, новости будут выводиться в 1 колонку, не уродуя дизайн сайта.

Почти все веб-мастера знают, что в целях сохранности опосля завершения процесса установки нужно переименовать заглавие файла admin.php
Естественно, большая часть веб-мастеров сменяют адресок админки, однако неувязка в том, что практически никто из их не знает что, имея счётчик посещаемости поставленный на сайте, любой хотящий сумеет с легкостью поглядеть статистику интернет-сайта и выяснить адресок админки.
Поэтому что, любой раз при нажатии на одну из ссылок"Просмотр интернет-сайта","написать ПС","отправить E-Mail" либо"Просмотр профиля" из Панель Управления, на сервер статистики сберегается страница-источник, в предоставленном случае - адресок админки.
А ежели у Вас статистика доступна лишь сообразно паролю и размышляте что Вы защищены, тогда разрешите направить Ваше интерес на то, что любой"потенциальный" партнёр захотит поглядеть статистику и станет шмальнуть пароли доступа. Однако я вас уверяю, что отгадать его намерения практически нереально.

Данный модуль позволяет добавить комментариям пользователей рейтинг, через который можно будет оценивать высказывания оставленные в них. Если уровень рейтинга комментария дойдет до значения негативного, которое выставляет администратор в админ-панели, комментарий удаляется или же скрывается под хайд и у пользователя написавшего его отключается возможность его исправить или удалить. Работа модуля осуществлена на AJAX.