HOME FORUMS MEMBERS RECENT POSTS LOG IN  
× Авторизация
Имя пользователя:
Пароль:
Нет аккаунта? Регистрация
Баннер 1   Баннер 2
НОВЫЕ ТОРГОВАЯ НОВОСТИ ЧАТ
loading...
Скрыть
Вернуться   ANTICHAT > БЕЗОПАСНОСТЬ И УЯЗВИМОСТИ > Уязвимости > Skype, IRC, ICQ, Jabber и другие IM
Перезагрузить страницу SSI на сервере ICQ
   
 
 
Опции темы Поиск в этой теме Опции просмотра
Предыдущая Предыдущее сообщение   Следующее сообщение Следующая

  #1  
Старый 24.05.2015, 14:57
alkos
Участник форума
Регистрация: 28.03.2007
Сообщений: 252
С нами: 10063867

Репутация: 63
По умолчанию
Не так давно на сервере people.icq.com изменили форму отображения инфо о уине. Пример:



Самая первая мысль, а что если в поле people.icq.com/people// ввести что-то другое?

Попробует выполнить скрипт [B] XSS работает, значит можно воровать кукисы :



А может кто-то по ошибке забыл отключить Server Side Include (SSI)? Сервер пашет на nginx. На удачу составим запрос с отображением локального времени :



Опачки! Работает!

А адрес сервера покажет?



А путь к корню?



Так может и шелл можно залить " --> ???...

А это уже совсем другая история....

P.S. На момент написания статьи администрация ICQ уже была оповещена о данной уязвимости и залатала дырку.

(с) alkos
𝕏 Twitter Reddit Telegram Копировать ссылку
 
Ответить с цитированием
 



« Предыдущая тема | Следующая тема »


Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
 


Быстрый переход




ANTICHAT ™ © 2001- Antichat Kft.