http://poligon-chat.net.ru/? - исходная ссыль.

Короче,помутил там немного(заняло это минуты 2,если не меньше) и вот что обнаружил:
если добавить к исходной ссылке чата это - "=><script>alert(/xss/)</script> = http://poligon-chat.net.ru/?"=><script>alert(/xss/)</script> ,то открыв чат с таким тегом и зайдя в "команды" или "чатовцы" вылезает алерт /xss/ . Кстати,внутри раздела "команды" если добавить тег,приведённый выше,к написанному в адресной строке,то зайдя,скажем, в "Инфа о зареганных пользователях" - вылезет такой же алерт /xss/ .

Люди,это глюк или это в натуре открытая xss в чате бородина? :confused:

P.S. пробовал то же самое в нескольких других чатах на этом же движке - не было никакого алерта.

Xss то там таким макаром откуда? скорее это даже глюк

Xss то там таким макаром откуда? скорее это даже глюк

надеюсь ты пошутил?
такие вопросы лучше не задавать )

Xss то там таким макаром откуда? скорее это даже глюк
Жалко минусы не могу ставить:( Ну и вопросы у тебя, походи по сайту античата, залезь в гугл, почитай везде про xss, а потом спрашивай.
--------------
По словам автора, это xss, но что то у меня она не проходит... Даже если она там есть, то её изпользование скорей всего невозможно.

Xss то там таким макаром откуда? скорее это даже глюк

даж не знаю.Я копался сегодня уже несколько раз на полигоне и пока толком ничё не смог сделать,но всё-таки там что-то есть,мне кажется.Именно на полигоне алерт светица...

допускаю один из вариантов, что версия чата старая.

допускаю один из вариантов, что версия чата старая.

Не думаю...

poligon-chat.net.ru версии 5.10 beta POLIGON (c)Bart 2006.

тогда не знаю в чём дело.

Powered by phpBB © 2001, 2002 phpBB Group

можно попробовать с этой стороны подойти к чату.

можно попробовать с этой стороны подойти к чату.

и как же?=\

http://forum.antichat.ru/thread12610.html - читай.
Если не разберёшься, то я уже вырвал хэши админа "СолныФко", сейчас расшифровываю, но пассы просто так тебе не отдам.

http://forum.antichat.ru/thread12610.html - читай.
Если не разберёшься, то я уже вырвал хэши админа "СолныФко", сейчас расшифровываю, но пассы просто так тебе не отдам.

Там версия форума 2.0.17.
Действовать надо,соответственно,как сказано в той теме про phpBB <= 2.0.17 или я чё не так сказал?
А эксплоиты я не понял,чё это такое...

<cmd> - нужная команда

и какая там команда нужна тоже хз,этих команд много...

md5 bb267df15ecdf0d925c2d22d9072c0ce notfound не расшифоровал хэш, выкладываю сюда. ник СолныФко, у кого получиться, дерзайте)

Там версия форума 2.0.17.
Действовать надо,соответственно,как сказано в той теме про phpBB <= 2.0.17 или я чё не так сказал?
А эксплоиты я не понял,чё это такое...



и какая там команда нужна тоже хз,этих команд много...


а ты с чего взял, что там эта версия??????????
там вроде как это phpBB 2.0.9

Мне сказал это человек,который барту форум и ставил=)

не расшифоровал хэш, выкладываю сюда. ник СолныФко, у кого получиться, дерзайте)

кстати,это её пасс в мд5 на форуме или в чате?

кстати,это её пасс в мд5 на форуме или в чате?


Цитата:
Powered by phpBB © 2001, 2002 phpBB Group

можно попробовать с этой стороны подойти к чату.
Такое ощущение складывается, что тебе уже просто нечего написать. Читай внимательно тему которую создал!!
================================
http://poligon-chat.net.ru/? - исходная ссыль.

Короче,помутил там немного(заняло это минуты 2,если не меньше) и вот что обнаружил:
если добавить к исходной ссылке чата это - "=><script>alert(/xss/)</script> = http://poligon-chat.net.ru/?"=><script>alert(/xss/)</script> ,то открыв чат с таким тегом и зайдя в "команды" или "чатовцы" вылезает алерт /xss/ . Кстати,внутри раздела "команды" если добавить тег,приведённый выше,к написанному в адресной строке,то зайдя,скажем, в "Инфа о зареганных пользователях" - вылезет такой же алерт /xss/ .

Люди,это глюк или это в натуре открытая xss в чате бородина?

P.S. пробовал то же самое в нескольких других чатах на этом же движке - не было никакого алерта.
Началась тема с этого. Ты получил больше чем хотел. Вопрос исчерпан, обсуждать нечего.
[closed]