 |
|
18.10.2006, 17:11
|
|
Участник форума
Регистрация: 10.09.2006
Сообщений: 185
С нами:
10350730
Репутация:
337
|
|
Taylorith, а ты надеялся XSS в сообщении найти? =О
Это же тебе не phpbb -1.0.(-100) alfa , чтоб такие дыры открытыми оставлять. Ты ищи в укромных местах... Всякие поля дополнительной инфы в профиле, скрипты поиска...
Про IPB тут говорили про заголовок личного сообщения, а не про простой пост  |
|
|
18.10.2006, 17:45
|
|
Новичок
Регистрация: 16.10.2006
Сообщений: 17
С нами:
10298671
Репутация:
0
|
|
Ладно, заголовки не катят.
Может есть что-нибудь с Bbкодами? Или хотя бы эксплойт проверенный и рабочий.
|
|
|
|
18.10.2006, 17:51
|
|
Участник форума
Регистрация: 06.09.2006
Сообщений: 177
С нами:
10356158
Репутация:
16
|
|
вопрос такой ты вот говоришь в скрипте поиска,это если пождробно куда надо вводить???Помоги найти.
И еще мне проверять в скрытых местах вот этим кодом ?? '><script>alert()</script>
чтобы узнать есть ли xss? ИЛи нужно пробовать еще и другими??Хотя врядли...
|
|
|
|
18.10.2006, 19:12
|
|
Участник форума
Регистрация: 09.08.2006
Сообщений: 157
С нами:
10396497
Репутация:
56
|
|
Проверять надо XSS пробуя вводить произвольные команды в строку !Чаще всего они находятся вобще в другорядных заголовках и.т. д а еще видео посмотри на ачате или whack.net!
|
|
|
|
18.10.2006, 19:16
|
|
Познавший АНТИЧАТ
Регистрация: 25.08.2006
Сообщений: 1,524
С нами:
10374086
Репутация:
1745
|
|
хых! А тема как называется? Случайно не так:
Господа, а есть ли нормальный xss for ipb 2.1.7?
хых! xss for ipb 2.1.7, а не phpBB 2.0.19! |
|
|
|
18.10.2006, 19:17
|
|
Участник форума
Регистрация: 10.09.2006
Сообщений: 185
С нами:
10350730
Репутация:
337
|
|
Taylorith
Если XSS именно на форуме интересует, то просто в поиск в разных местах повводить. А если сайт какой, то не напрямик к переменным.
Например есть скрипт который высылает пароль к мылу (это у меня недавно такая ситуация была). В адресной строке видно "....../pass.php". Страничка маленькая - текстовое поле и кнопка. Вводишь мэйл и тебе пишут есть такое или нет. Пробовал вводить в сам этот текст - "><script>alert()</script> - , ничего не вышло. Глянул исходник, значение мыла передается переменной "email". И тогда прописал напрямую "....../pass.php?email="><script>alert()</script>" - выдало алерт. Вот примерно так же по скриптам и искать =)
ЗЫ Для того чтоб узнать есть ХСС или нет, достаточно - "><script>alert()</script> - и если будет алерт, то ХСС есть.
|
|
|
|
18.10.2006, 20:03
|
|
Новичок
Регистрация: 16.10.2006
Сообщений: 17
С нами:
10298671
Репутация:
0
|
|
Это всё конечно здорово, но боюсь, что приоритет взывает в первую очередь помочь мне.
То есть, как верно подметил Товарищ ZLOY, ответить на вопрос
Господа, а есть ли нормальный xss for ipb 2.1.7?
|
|
|
|
18.10.2006, 21:23
|
|
Green member
Регистрация: 28.12.2005
Сообщений: 376
С нами:
10719686
Репутация:
1833
|
|
Сообщение от Silent
Это всё конечно здорово, но боюсь, что приоритет взывает в первую очередь помочь мне.
То есть, как верно подметил Товарищ ZLOY, ответить на вопрос
Господа, а есть ли нормальный xss for ipb 2.1.7?
я немогу понять зачем тебе XSS если есть там SQL это намного легче чем XSs
а если срочно надо у меня есть XSS которую я сам нашол! Но увы это тока из под аккаунта модера можно произвести нападения.
Последний раз редактировалось _-[A.M.D]HiM@S-_; 18.10.2006 в 21:29..
|
|
|
|
18.10.2006, 21:45
|
|
Новичок
Регистрация: 16.10.2006
Сообщений: 17
С нами:
10298671
Репутация:
0
|
|
Как из под модератора xss замутить я тоже знаю 
Но тут вся проблема в том, что для 99.99% случаев атакующий является обычным юзером... |
|
|
|
18.10.2006, 22:19
|
|
Участник форума
Регистрация: 10.09.2006
Сообщений: 185
С нами:
10350730
Репутация:
337
|
|
Sql эта та, что только под рут-админа, да еще если он с админ панели аватарку смотреть будет? Например я посещаю 1 форум. Там около 8 админов. И только 1 из них рут. Рут заходит на форум раз в 2 недели и вряд ли лазает в админку... Ну к чему тут такая Sql?
|
|
|
|
|
|
|
|
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
|
|
|
|
![Аватар для _-[A.M.D]HiM@S-_](/avatars/avatar21104.jpg?208768){kind=avatar}
Похожие темы
Линейный вид
