|
freeicq.org
Сайта freeicq.org
найдите уязвимость,если она конечно есть :) кто найдёт буду дарить по 1+ каждый день :D |
Xss при добавлении номера icq в параметре uin.
Цитата:
|
Чегото я в шапке не вижу логотип ачата.
|
слабое звено - форум.
|
активная хсс, уязвимо поле "автор" при добавлении номера, отображается в
http://freeicq.org/index.php?list=uncheckers |
Код:
http://freeicq.org/index.php?limitstart=-1Там все в поряде, только имхо лучше выдавать что нидь типа "по вашему запросу ничего не найдено" чтоб базу не раскрывать сразу. |
http://freeicq.org/index.php?limitstart=54000000000000000000000000 - тож надо имхо выдавать что-нибудь другое чем это:
Код:
Warning: mysql_fetch_object(): supplied argument is not a valid MySQL result resource in /usr/home/raider/domains/freeicq.org/public_html/index.php on line 229 |
Я нашел XSS у тебя на сайте в разделе "Добавление номера в базу".
Я написал в номере,Пароле,Списке (uin;pass)и Авторе вразу PHP код:
|
Кстати интересная фишка. (наверное не совсем уязвимость но всеже) Введи в логине всякую фигню и будет
Цитата:
такого не будет. Буду копать дальше |
http://freeicq.org/index.php?add_uin=1
в полях номер и список номеров - xss http://freeicq.org/index.php?checkscore=1 в обоих полях xss http://freeicq.org/index.php?limitstart=0&sort=numbers&sortby="><scri pt>alert(99)</script> xss (осторожно, последнем вылетаеет много алертов) |
| Время: 05:44 |