Форум АНТИЧАТ
Страница 1 из 2 1 2 >
Показывать 40 сообщений этой темы на одной странице

Форум АНТИЧАТ (https://forum.antichat.xyz/index.php)
-   Уязвимости (https://forum.antichat.xyz/forumdisplay.php?f=74)
-   -   Интересует оценка сайта (как профи так и простых пользователей) (https://forum.antichat.xyz/showthread.php?t=7015)

max32 08.06.2005 18:04
Интересует оценка сайта (как профи так и простых пользователей)
 
Вот мой ресурс (который я сделал):

O.M.G. Software зеркало 1

O.M.G. Software зеркало 2

O.M.G. Software зеркало 3

Интересно мнение профессионалов и рядовых пользователей...

С уважением,
Max32

(-=util=-) 08.06.2005 18:16
непристижный и неудобный форум

censored! 08.06.2005 18:30
Ссылки:
Цитата:
http://www.omg.sed.lg.ua/calendar.php?act=see_event&month1=июня&year=20 05&cc=<script>alert(/testing_by_censored!/)</script>&link=lang/ru/calendar/672005.txt

Егорыч+++ 08.06.2005 18:44
Календарь на сайте вообще лишняя вешь... Подбор цветов очень многообразный...

k00p3r 08.06.2005 18:52
неплохой сайт для фирмы....

(-=util=-) 08.06.2005 18:55
to censored! на сколько я понимаю эта к сожелению пассивная бага и ктомуже всего ничего полезного нестырить. Кстати. Статью по активным XSS никто нехочет написать?

censored! 08.06.2005 19:26
Ну что значит пассивная? То что чтобы она сработала надо на нее направить? Если есть Форум или мыло админа - с этим проблем не будет. Стырить можно Форумные куки.

(-=util=-) 08.06.2005 20:23
именно. надо заманить юзверя на Xss. Забей. Это я так просто к слову и мысли в слух написал.....

max32 09.06.2005 09:27
k00p3r - спасибо - так и задумывалось!

Егорыч+++ Календарь веб-реализация программы "Знаменательные даты", которая является визитной карточкой фирмы... всё равно - спасибо большое!

censored!,(-=util=-) а можно поподробней про баги ? :confused:

censored! 09.06.2005 12:21
Подробнее: всегда надо расчитывать что скрипту может передастся не то что ты планируешь, а совершенно другое. Соответсвенно - ты знаешь что передается скрипту календаря, отсюда пропускай только то что надо, а на остальное ставь фильтр.
По ссылке:
Цитата:
http://www.omg.sed.lg.ua/calendar.php?act=see_event&month1=июня&year=20 05&cc=<script>alert(/testing_by_censored!/)</script>&link=lang/ru/calendar/672005.txt
Что может быть:
На форуме в теме или тебе лично по Форумной личке придет письмо:
"С вашего сайта незаконно используют ваши программы! Тут ->" и дальше ссылка на какую-нить страницу. Ты туда зайдешь посмотреть и попадешь на какую-нить липовую страницу. А на этой странице будет в фрейме та ссылка что вверху, но вместо <script>alert(/testing_by_censored!/)</script> будет прописан путь до снифера, который твои куки будет записывать в файл. Так как куки и от Форума запишутся (форм с сайтом на одном домене), то можно зайти зарегистрироваться под пользователем и потом заменить куки на твои. Или же поставить хэш пароля (который также для твоего форума хранится в куках) на расшифровку и удачно расшифровать его.
Тогда можно заходить под Админом и делать с Форумом что хочешь.
Можно пойти и еще дальше (я правда не очень хорошо знаю этот Форум). Можно под Админом разрешить загружать файлы с расширением php (pl, asp) закачать туда веб-шел и попробовать запустить. Если все пройдет нормально - то уже можно будет на твоем сайте редактировать/перемещать/удалять и т.п.

Ну, вообщем, это набросок что может быть при уданом внедрении. Но все зависит и от тебя. даже если и есть XSS не факт что попадут в Админку. Если попадут в Админку - не факт что закачают вебшел. Если закачают вебшел - не факт что он запустится. Ну и т.п.


Время: 22:40
Страница 1 из 2 1 2 >
Показывать 40 сообщений этой темы на одной странице