Здравствуйте уважаемые взломщики.
Помогите пожалуйста найти уязвимость в программе: PHPMailList Version 1.8.0 (http://scripts.protoplex.ru/scripts_show/992.html)
Я хочу зайти в бд mail'ов этого скрипта которая установлена на другом сайте, даже знаю где находится list.dat только к нему доступ закрыт через браузер.
Это инфо я нашел в инете про этот скрипт:
Уязвимость существует из-за недостаточной обработки входных данных в параметре "email" в сценарии maillist.php. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольный код сценария в браузере жертвы в контексте безопасности уязвимого сайта.
Но к сожалению не понял что это значит и как этим воспользоваться!
Если кто знает как можно посмотреть или скачать list.dat подскажите пожалуйста
Заранее Спасибо.

http://redwoodsaunas.com/maillist.php
в поле мыла вставь <script>alert(/PSalm69/)</script>
это XSS - про дальнейшую реализацию незнаю.. пока не знаю

http://redwoodsaunas.com/maillist.php
в поле мыла вставь <script>alert(/PSalm69/)</script>
это XSS - про дальнейшую реализацию незнаю.. пока не знаю
а для чего это? т.е. что это делает?

читать тут http://antichat.ru/crackchat/HTML/
смотреть тут http://video.antichat.ru/1_0.html
теоретически можно сформировать запрос который в дальнейшем может тебе помочь в поимке кук админа когда он просмотрит твой e-mail
но я сильно сомневаюсь, что тот кто писал про эту багу смог что-нить сделать, кроме как описание самой ошибки.
кук я там не увидел....
0000000,1% что это что-то даст тебе.

читать тут http://antichat.ru/crackchat/HTML/
смотреть тут http://video.antichat.ru/1_0.html
теоретически можно сформировать запрос который в дальнейшем может тебе помочь в поимке кук админа когда он просмотрит твой e-mail
но я сильно сомневаюсь, что тот кто писал про эту багу смог что-нить сделать, кроме как описание самой ошибки.
кук я там не увидел....
0000000,1% что это что-то даст тебе.
А нельзя как не будь настроить свой скрипт на бд этого сайта??? я знаю местоположение бд на из сайте.

у тебя есть скрипт? какой? типа посылаешь запрос а он в бд попадая тырит все записи? подписи? надписи?

у тебя есть скрипт? какой? типа посылаешь запрос а он в бд попадая тырит все записи? подписи? надписи?
Я имею введу возможно ли настроить PHPMailList Version 1.8.0 на бд другого сайта, тоесть где не будь указать url к бд чужого сайта где установлен этот же скрипт, и просмотреть её.

Я имею введу возможно ли настроить PHPMailList Version 1.8.0 на бд другого сайта, тоесть где не будь указать url к бд чужого сайта где установлен этот же скрипт, и просмотреть её.
Если только есть возможность удалённого соединения в этом скрипте. Но опять же, что-то мне подсказывает там такого нет.

тоесть скрипт написан идеально, и её невозможно взломать?

тоесть скрипт написан идеально, и её невозможно взломать?
всмысле тоесть? где в моих ответах было написано, что его можно или нельзя взломать? Я просто отвечал на твои вопросы и показывал теоретическую возможность эксплуатации баги данного скрипта, вот и всё.

Никто не хочет поискать баг в этой программе??
Или если кто знает может подскажет??