[Feat] Herkenning van admin URLs - Stoute bugs

zondag 3 april 2005 13:04

Acties:

* Tetragrammaton

Topicstarter

Graag zou ik zien dat de URL

code:

1	/admin.php?data[step]=2&action=lookup_user&data[search]=userid&data[username]=28569

wordt omgezet naar:

code:

1	[url="/admin.php?data[step]=2&action=lookup_user&data[search]=userid&data[username]=28569"]Spider.007 in admin[/url]

---
Prozium - The great nepenthe. Opiate of our masses. Glue of our great society. Salve and salvation, it has delivered us from pathos, from sorrow, the deepest chasms of melancholy and hate

zondag 3 april 2005 13:09

Acties:

Verwijderd

Ik weet niet of de admin tegenwoordig goed beveiligd is tegen cross-site scripting, anders kun je dit voortaan beter in een crewforum posten. En in dat geval zou je dit ook alleen in crewfora mogen gebruiken

zondag 3 april 2005 13:14

Acties:

Spider.007

* Tetragrammaton

Topicstarter

Ik begrijp je punt niet? Wat heeft de admin url met crosssite scripting te maken? Verder lijkt me dat dit sowieso iets is wat alleen voor de crew nuttig en bruikbaar is?

---
Prozium - The great nepenthe. Opiate of our masses. Glue of our great society. Salve and salvation, it has delivered us from pathos, from sorrow, the deepest chasms of melancholy and hate

zondag 3 april 2005 14:16

Acties:

JHS

Splitting the thaum.

Spider.007: Als de url bekend is, en de admin is vatbaar voor XSS wordt dat een stuk makkelijker. Maar als het zoiezo /admin.php is maakt dat niet zoveel uit, omdat dat wel te raden is

.

edit:

@Hieronder, idd...

[ Voor 8% gewijzigd door JHS op 03-04-2005 16:49 ]

DM!

zondag 3 april 2005 14:24

Acties:

m-m

En gezien de populariteit van MyReact zijn de admin urls en de opbouw daarvan toch wel bij een boel gebruikers met kennis van zaken bekend.