XSS уязвимости.

Windson · 28 Июл 2018

На сайте в файле payeer_merchant нашёл несколько XSS уязвимостей связанных с кодами:

PHP:

if($db->NumRows() == 0){ echo $_POST['m_orderid']."|error"; exit;}

PHP:

if($payeer_row["status"] > 0){ echo $_POST['m_orderid']."|success"; exit;}

PHP:

echo $_POST['m_orderid']."|success";

Можно ли следующим образом убрать эти уязвимости?

PHP:

if($db->NumRows() == 0){ echo htmlspecialchars($_POST['m_orderid'])."|error"; exit;}

PHP:

if($payeer_row["status"] > 0){ echo htmlspecialchars($_POST['m_orderid'])."|success"; exit;}

PHP:

echo htmlspecialchars($_POST['m_orderid'])."|success";

geronimo · 28 Июл 2018

по флужу чутка,но как ты их нашел?? если ты с id в базе не можешь разобраться

Windson · 28 Июл 2018

geronimo написал(а):
по флужу чутка,но как ты их нашел?? если ты с id в базе не можешь разобраться

неважно, важен мой вопрос, просто если я получается таким образом закодирую, то нужно будет раскодировать ?

geronimo · 28 Июл 2018

что ты там кодировать собрался то?! ты фильтруешь данные

гугли что такое htmlspecialchars

Windson · 28 Июл 2018

geronimo написал(а):
что ты там кодировать собрался то?! ты фильтруешь данные

гугли что такое htmlspecialchars

тоесть уязвимость будет скрыта?

geronimo · 28 Июл 2018

да ее и нет в принципе в мерчанте,пользуешься псевдо-сканером, и потом спрашиваешь,а он просто самое элементарное показывает

в общем если спать будешь спокойнее то оставляй

Windson · 28 Июл 2018

geronimo написал(а):
да ее и нет в принципе в мерчанте,пользуешься псевдо-сканером, и потом спрашиваешь,а он просто самое элементарное показывает

в общем если спать будешь спокойнее то оставляй

этот псевдо сканнер хотя-бы нашёл "уязвимости" в отличии от ai-bolit и большенства других подобных

geronimo · 28 Июл 2018

Windson написал(а):
этот псевдо сканнер хотя-бы нашёл "уязвимости" в отличии от ai-bolit и большенства других подобных

что он там нашел?! что в мерчанте поставить нужно фильтры,или что в админке нужно поставить фильтры и потом не сможешь текст ни какой писать

kolyaka1051 · 28 Июл 2018

Скачай мерчант с форума, и все.

Windson · 28 Июл 2018

geronimo написал(а):
что он там нашел?! что в мерчанте поставить нужно фильтры,или что в админке нужно поставить фильтры и потом не сможешь текст ни какой писать

Можете подсказать через какие чаще всего файлы в фермах уводят деньги со счетов или через какие легче это совершить?

geronimo · 28 Июл 2018

Windson написал(а):
Можете подсказать через какие чаще всего файлы в фермах уводят деньги со счетов или через какие легче это совершить?

вопрос не по теме,для таких вопросов есть раздел Болталка

Windson · 28 Июл 2018

geronimo написал(а):
вопрос не по теме,для таких вопросов есть раздел Болталка

Понял, вопрос решён.

reks · 28 Июл 2018

Айболит даже на кнопки соц сетей бывает ругается,больше не пользуюсь.

Windson · 28 Июл 2018

Redbull написал(а):
Айболит даже на кнопки соц сетей бывает ругается,больше не пользуюсь.

а только что как говорил ТС выше с помощью псевдо сканнера нашёл 8 sql инъекций

reks · 28 Июл 2018

Лучший сканер это мозг,руки и глаза))))Самого касалось и не раз.

Blazer · 28 Июл 2018

Нету тут уязвимости,тут даже не знающему человеку можно понять по коду.