XSS

6 Мая 2017
Как закрыть эту уязвимость <a href="

<?=text($_SERVER['REQUEST_URI'])?>

"><center><img src="/style/icons/nav_obnovit.gif" alt="" /></center></a>

Статистика WMID автора:

691696621605 BL

Претензии | Отзывы

Комментарии:

Saint

8 Мая 2017
meis, есть она там . sys/fnc/function_text.php
______________________
Я есть сущность

meis 8 Мая 2017
Автор темы
Jvk35, так в том то и дело что в папке /fnc/ нету у меня этой функции text() по этому я и спрашиваю :-)

mrholler 8 Мая 2017
SimptomFD, только зря свой двиг им выложил smile

SimptomFD

7 Мая 2017
meis, Меньше сканерам верь.

PluginS

7 Мая 2017
Сканер не знает, что скрывается за той или иной функцией. Как и в данном случае он не знает, что скрывается за функцией text() и понятия не имеет, что она делает. Поэтому то, что "обособлено" в неё, он всё равно считает как "неотфильтрованное" и выдаёт за XSS и т.д. smile

Jvk35

7 Мая 2017
Функция text() это типичный говнокод который создался для сокращения htmlspecialchars() Загляни в файлы в папке sys/fnc и там увидишь ету функцию и тот сканер не правильно инфу считывает о уязвимостях...Так что там нет уязвимости
______________________
AptEntity96

mrholler 7 Мая 2017
meis, не обращай внимание, просто переменная не преобразовывается через htmlspecialchars() вот он и выдает под видом xss.