24.03.2011, 02:47
|
|
Новичок
Регистрация: 13.02.2011
Сообщений: 7
С нами:
8023286
Репутация:
0
|
|
Помогите разобраться с XSS вот вроде нашел тут токо хз правильная ли она http://play.ukr.net/videos/search? уязвимое поле поиск кода пишу ">alert() сам посмотрите что выдаст)). Это XSS ваще? Если да обесните плиз как ее использывать, а то читаю мануалы не оч понял))
|
|
|
24.03.2011, 03:32
|
|
Участник форума
Регистрация: 15.08.2010
Сообщений: 260
С нами:
8285366
Репутация:
62
|
|
Сообщение от SeNaP
Это вообще не инклуд, это читалка
Читать файлы можешь, но подключать не можешь.
Так то вот.
я так и думал. но всё же решил уточнить)
|
|
|
|
24.03.2011, 04:38
|
|
Флудер
Регистрация: 20.11.2006
Сообщений: 3,315
С нами:
10248806
Репутация:
2371
|
|
Сообщение от Fild3y
Помогите разобраться с XSS вот вроде нашел тут токо хз правильная ли она http://play.ukr.net/videos/search? уязвимое поле поиск кода пишу ">alert() сам посмотрите что выдаст)). Это XSS ваще? Если да обесните плиз как ее использывать, а то читаю мануалы не оч понял))
xss, только там strip_tags херачит
|
|
|
|
24.03.2011, 08:46
|
|
Новичок
Регистрация: 21.01.2010
Сообщений: 0
С нами:
8580980
Репутация:
0
|
|
Сообщение от Moriarty
Кто-нибудь помнит в какой версии было такое окно???
 2.3.x
|
|
|
|
25.03.2011, 18:39
|
|
Reservists Of Antichat - Level 6
Регистрация: 05.04.2009
Сообщений: 231
С нами:
9000386
Репутация:
1148
|
|
Сообщение от Fooog
Немного странно.
Вот есть сайт с которого логин/пасс стащил
Админка: http://www.franchisedocuments.com/zen/admin/login.php
Логин: frandocs
Защита от нубов: 5a042913e5074bc846784dd2066456d2:26
Но вот когда вводим правильный логин/пасс не пишет что введено неправильно, но и не заходит.
В чем причина то?
Что неприятно, так это то что там СС быть могут, и на завершающем этапе такой облом.
admin_id:admin_name:admin_email:admin_pass:admin_l evel
1:frandocs:sales@franchisedocuments.com:5a042913e5 074bc846784dd2066456d2:26:1
5a042913e5074bc846784dd2066456d2 -> md5
|
|
|
|
25.03.2011, 20:58
|
|
Участник форума
Регистрация: 19.12.2010
Сообщений: 155
С нами:
8103926
Репутация:
85
|
|
Сообщение от Fild3y
Помогите разобраться с XSS вот вроде нашел тут токо хз правильная ли она http://play.ukr.net/videos/search? уязвимое поле поиск кода пишу ">alert() сам посмотрите что выдаст)). Это XSS ваще? Если да обесните плиз как ее использывать, а то читаю мануалы не оч понял))
Там как уже сказали фильтр, но в таких ситуациях нельзя разочаровываться, по адресу http://freemail.ukr.net/q/password_recovery есть рабочая XSS
Что с этим можно сделать?
Можно найти более красиваое место, написать там посредством XSS код который будет красть куки, через сниффер, и потом входить на этот сьайт под чужими акками без ввода пароля, ну это в лучшем случае))
Под красивым местом подразумевается статическая страница которую могут открыть люди и оставить там свои куки для тебя
P.S. Посредством этой XSS можно взломать(угнать куки) любой аккаунт с freemail.ukr.net, вот что можно с этим сделать))
|
|
|
|
25.03.2011, 23:53
|
|
Участник форума
Регистрация: 09.12.2010
Сообщений: 101
С нами:
8118326
Репутация:
-5
|
|
как сделать select into outfile '/var/www/site/ae.txt' если фильтрируется ' и все это после 400 колонок
|
|
|
|
26.03.2011, 00:03
|
|
Участник форума
Регистрация: 07.08.2008
Сообщений: 281
С нами:
9347610
Репутация:
165
|
|
Сообщение от rootmd
как сделать select into outfile '/var/www/site/ae.txt' если фильтрируется ' и все это после 400 колонок
я не труъ хакир, но вроде тут нечего не поделаешь, т.к. при записи, нужно указывать путь к файлу именно в ' '.
пробуй через двойной запрос.
|
|
|
|
26.03.2011, 17:29
|
|
Познавший АНТИЧАТ
Регистрация: 27.08.2007
Сообщений: 1,107
С нами:
9846041
Репутация:
1177
|
|
|
|
|
|
26.03.2011, 18:37
|
|
Новичок
Регистрация: 21.06.2005
Сообщений: 1
С нами:
10992741
Репутация:
0
|
|
Столкнулся с проблемой в админке есть функция загрузки картинок в галерею, ресайза нет, но добавляется расширение jpeg, и проверяется mime на image, только в одном случае, когда льешь ex.php.jpeg добавляется ex.txt. В галереи отображается картинка как надо, а когда по прямому пути, то исходник картинки+шелла. Может кто сталкивался, как обойти.
p.s. инклуда нет
|
|
|
|
|
 |
|
|
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
|
|
|
|
Похожие темы
Комбинированный вид
