Seditio tərcümə paketlərində TR və AZ dilində məlumat parse olunmadan çəkildiyinə görə xss ortaya çıxıb baxaq
+--------------+------------+--------------+-------------+-------------+---------------------------------+----------------+-------------+
| core | main | 01 | maintitle | 1 | <script>alert("PwnZ");</script> | | |
+--------------+------------+--------------+-------------+-------------+---------------------------------+----------------+-------------+
demək olarki script yazanda günahda var çünki məlumat bazaya insert olduqda parse olmur
keçirik
Kod:
cd /htdocs/se/system/lang/tr
C:\htdocs\htdocs\se\system\lang\tr>message.lang.php
Kod:
$L['msg104_1'] = "Hoю geldiniz => " . $usr['name'] . ", ".sed_badwords($cfg['maintitle'])."'e giriюiniz tamamlandэ.";
de]
Kod:
baxırıq $cfg['maintitle'];
e]
maintitle oxudur burdada parse yoxdur ona gorede xss çıxır ortaya.
belə əgər oturub araşdırsaq maintitle çox yerdə çəkilir ona görədə ən yaxşısı elə admin paneldə insert verilən yerdə birdənə antixss funksiyasından istifadə etmək olar
seditioda sed_cc`dir səhv etmirəmsə o funksiyanın adı.
əks halda sayta daxil olan istifadəçi qarşılaşır
Kod:
Hoю geldiniz => Admin, XSS Code'e giriюiniz tamamlandэ
de]