Дайте совет плз.xss

Дайте совет плз.xss

06.08.2007, 14:40

Dimi4

Reservists Of Antichat - Level 6

Регистрация: 19.03.2007

Сообщений: 953

С нами: 10077446

Репутация: 3965

Дайте совет плз.xss

У моего прова есть чат.(сайт лежыт в локалке поетому ссылка для вас значение не имеет)
Сразу скажу, что движок неизвестный, но чат безопасный.Но не без дыр.
Так вот
Главная страница

PHP код:


		
			
< просто убирает

> не фильтрует

script меняет на [skipped]

%22%3E%3C%73%63%72%69%70%74%3E%61%6C%65%72%74%28%29%3C%2F%73%63%72%69%70%74%3E

не фильтрует и не декодирует.

http://java%73%63%72ipt:alert(); - невозможно отобразить страницу.

там есть примочка - БЛОКНОТ

все также фильтрует но url декодирует

пишу

PHP код:


		
			
%68%65%6C%6C%6F%3C%73%63%72%69%70%74%3E%61%6C%65%72%74%28%29%3C%2F%73%63%72%69%70%74%3E

ето было

PHP код:


		
			
hello<script>alert()</script>

и о чудо! вылез алерт
больше дырок не нашол.
Как же ето заюзать.Ссылки на свой блокнот я дать немогу(адреса блокнота невидно) значить куки непридут.А можна как нить залить шелл?
И что можна сделать с етой дырой? может ищо какие нибуть советы на проверку дыр?

𝕏 Twitter Reddit Telegram Копировать ссылку

__________________

BlackHat.

MoDL