<div dir="ltr">Hi there,<div><br></div>I have upgraded PmWiki to Version 2.2.49, and have add this line to config.php <span style="color:rgb(0,0,0);font-family:'Lucida Console','Andale Mono','Courier New',Courier,monospace;font-size:0.9em;line-height:1.2em"> </span><a class="" href="http://www.pmwiki.org/wiki/PmWiki/UploadVariables#UploadBlacklist" style="font-family:'Lucida Console','Andale Mono','Courier New',Courier,monospace;font-size:0.9em;line-height:1.2em;text-decoration:none"><code class="" style="font-size:13px;font-family:'Lucida Console','Andale Mono','Courier New',Courier,monospace">$UploadBlacklist</code></a><span style="color:rgb(0,0,0);font-family:'Lucida Console','Andale Mono','Courier New',Courier,monospace;font-size:0.9em;line-height:1.2em"> = array('.php', '.pl', '.cgi', '.py', '.shtm', '.phtm', '.pcgi', '.asp', '.jsp', '.sh');</span><div>
<span style="color:rgb(0,0,0);font-family:'Lucida Console','Andale Mono','Courier New',Courier,monospace;font-size:0.9em;line-height:1.2em"><br></span></div>However, my university won't let our web server through their firewall because they say that the site is vulnerable to Cross Site Scripting. They say it affects the following directories:<div>
<br></div><div><div>Affects Variation</div><div>/ 3</div><div>/index.php 1</div><div>/pictures 1</div><div>/pmwiki 3</div><div>/pmwiki/cache 1</div><div>/pmwiki/image 1</div><div>/pmwiki/index.php 1</div><div>/pmwiki/pub 1</div>
<div>/pmwiki/pub/css 1</div><div>/pmwiki/pub/skins 1</div><div>/pmwiki/pub/skins/parchment 1</div><div>/pmwiki/uploads</div></div><div><br></div><div style>Here are the details for the first one:</div><div style><br></div>
<div style><div>Details</div><div>/</div><div>URI was set to undefined1<ScRiPt>prompt(933131)</ScRiPt></div><div>The input is reflected inside a text element.</div><div>GET /undefined1<ScRiPt>prompt(933131)</ScRiPt> HTTP/1.1</div>
<div>Cookie: _setdiv20=show; _setdiv22=show; _setdiv30=show; _setdiv1=hide; _setdiv2=show;</div><div>_setdiv10=show</div><div>Host: <a href="http://ella.shadlenlab.columbia.edu">ella.shadlenlab.columbia.edu</a></div><div>
Connection: Keep-alive</div><div>Accept-Encoding: gzip,deflate</div><div>User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; WOW64; Trident/5.0)</div><div>Acunetix-Product: WVS/8.0 (Acunetix Web Vulnerability Scanner - NORMAL)</div>
<div>Acunetix-Scanning-agreement: Third Party Scanning PROHIBITED</div><div>Acunetix-User-agreement: <a href="http://www.acunetix.com/wvs/disc.htm">http://www.acunetix.com/wvs/disc.htm</a></div><div>Accept: */*</div><div>
Request headers</div><div>Details</div><div>/</div><div>URI was set to undefined1<ScRiPt>prompt(970217)</ScRiPt></div><div>The input is reflected inside a text element.</div><div>GET /undefined1<ScRiPt>prompt(970217)</ScRiPt> HTTP/1.1</div>
<div>Cookie: _setdiv20=show; _setdiv22=show; _setdiv30=show; _setdiv1=hide; _setdiv2=show;</div><div>_setdiv10=show</div><div>Host: <a href="http://ella.shadlenlab.columbia.edu">ella.shadlenlab.columbia.edu</a></div><div>
Connection: Keep-alive</div><div>Accept-Encoding: gzip,deflate</div><div>User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; WOW64; Trident/5.0)</div><div>Acunetix-Product: WVS/8.0 (Acunetix Web Vulnerability Scanner - NORMAL)</div>
<div>Acunetix-Scanning-agreement: Third Party Scanning PROHIBITED</div><div>Acunetix-User-agreement: <a href="http://www.acunetix.com/wvs/disc.htm">http://www.acunetix.com/wvs/disc.htm</a></div><div>Accept: */*</div><div>
<br></div><div style>Any ideas what I can do about this? They won't let my server run until this is fixed. thanks,</div><div style>maria</div></div></div>