Micr0b
22.11.2006, 14:36
И так я играю Онлайн Игрушку NeverLands.ru
Меня как и любого человека которой играет ету игрушку интересуют ее баги.
Раз я заметил что в чат начали бросать рисунки, ссылки, разный размер букв.
Мне стало интересно ... Я начачал просить чела чтоб сказал как ето делать но он никак нехотел.
Но вдруг уже на второ день на форуме игры была опубликирована стаття:
На идею меня натолкнул http://www.neverlands.ru/pinfo.cgi?***Mikki*** который заметил, что если в конце впредложения написать \0, то следующая фраза "приклеивается" к предыдущей.
После чего, мною были проверены все комбинации от \0 до \110
Оказалось, что \56 это символ точка "."
Значит мы уже могли обойти фильтр чата. Как известно, он не пропустит фразу вида сайт.ru но зато отлично пропускал сайт\56ru
А дальше все просто.
\74 - это символ "<"
\76 - символ ">"
Таким образом, я обошел и этот фильтр
\74img src="http://image.neverlands.ru/sms.gif"\76 ----- эта строка и давала картинку в чате.
Баг я сразу сдал, и за использование мне пригрозили блоком, так что я юзал потихоньку, только по приватам и никому не говорил, как использовать.
Естественно, кроме ругани от админов и в этот раз не получил ничего.
17.10.2006 17:03:22, Bartman(mobile)
а что мне за это будет? :-P
17.10.2006 17:03:30, Мастер Создатель
:-)блока не будет
17.10.2006 17:03:36, Bartman(mobile)
неее....не покатит
17.10.2006 17:03:47, Мастер Создатель
ничего и блок
17.10.2006 17:03:53, Bartman(mobile)
ножик дракона дашь?)
17.10.2006 17:04:11, Мастер Создатель
помилую
17.10.2006 17:04:21, Bartman(mobile)
блин
17.10.2006 17:04:29, Bartman(mobile)
обидно, честно говоря
17.10.2006 17:04:40, Мастер Создатель
а мне нет
17.10.2006 17:05:42, Bartman(mobile)
а как же обещание за найденые баги по 1000$ 2 года назад?=)
17.10.2006 17:05:56, Мастер Создатель
ничего такого не слышал и не знаю
Сдавайте баги, получайте премии.
Ну разумеется я начал сам тестить, так как мне стало подорительные
код отправки собщения в чат.
<ник> test - ето отрвавляет текста конкретнуму челу так что собщения могут видить все(кратко ето общак).
%<ник> test - ето отправка текста конкретному челу анонимно (кратко ето назывется приватка).
%clan% test - ето если вы состоите в семьи/клане.
Как и в льюбом нормальном чате есть смайлики.)
В конкретном чате они имели тако вид:
:456:
:004:
:789:
и так дале.
Я себе подумал а если зделать вот так:
%<:456:> test
И что вы думаете, в чат послалось собщение такого вида:
14:58:28 мой_ник для %IMG border=0 src=http://image.neverlands.ru/chat/smiles/smiles_456.gif style="cursor:hand"
onClick="ins_smile('456')":: test
Вдруг мне чото в голову збрело написать:
%<<img src=>> testЯ был в шоке. В чат отправилась неопазнаная картинка.
Я написал такой скрипт:
%<<a href=>> test
В чат отпрввилась ссылка.
Мне сразу пришла мысиль вставить алерт:
%<<img src=javascript:alert()?>> test
Але тут чото было не то, нехочело оно спринимать скрипт...я уже на то время разными извесными способами тестил но результата небыло..Жалко всетаки.
В етой стате я б хотел покзать что даже крупные проекты имеют баги, только нужно их искать.)))
Вот здесь есть видео: http://webfile.ru/1392204
В видео есть много синтаксических ошыбок так что извините.
На даной момент багу уже закрыли.
Меня как и любого человека которой играет ету игрушку интересуют ее баги.
Раз я заметил что в чат начали бросать рисунки, ссылки, разный размер букв.
Мне стало интересно ... Я начачал просить чела чтоб сказал как ето делать но он никак нехотел.
Но вдруг уже на второ день на форуме игры была опубликирована стаття:
На идею меня натолкнул http://www.neverlands.ru/pinfo.cgi?***Mikki*** который заметил, что если в конце впредложения написать \0, то следующая фраза "приклеивается" к предыдущей.
После чего, мною были проверены все комбинации от \0 до \110
Оказалось, что \56 это символ точка "."
Значит мы уже могли обойти фильтр чата. Как известно, он не пропустит фразу вида сайт.ru но зато отлично пропускал сайт\56ru
А дальше все просто.
\74 - это символ "<"
\76 - символ ">"
Таким образом, я обошел и этот фильтр
\74img src="http://image.neverlands.ru/sms.gif"\76 ----- эта строка и давала картинку в чате.
Баг я сразу сдал, и за использование мне пригрозили блоком, так что я юзал потихоньку, только по приватам и никому не говорил, как использовать.
Естественно, кроме ругани от админов и в этот раз не получил ничего.
17.10.2006 17:03:22, Bartman(mobile)
а что мне за это будет? :-P
17.10.2006 17:03:30, Мастер Создатель
:-)блока не будет
17.10.2006 17:03:36, Bartman(mobile)
неее....не покатит
17.10.2006 17:03:47, Мастер Создатель
ничего и блок
17.10.2006 17:03:53, Bartman(mobile)
ножик дракона дашь?)
17.10.2006 17:04:11, Мастер Создатель
помилую
17.10.2006 17:04:21, Bartman(mobile)
блин
17.10.2006 17:04:29, Bartman(mobile)
обидно, честно говоря
17.10.2006 17:04:40, Мастер Создатель
а мне нет
17.10.2006 17:05:42, Bartman(mobile)
а как же обещание за найденые баги по 1000$ 2 года назад?=)
17.10.2006 17:05:56, Мастер Создатель
ничего такого не слышал и не знаю
Сдавайте баги, получайте премии.
Ну разумеется я начал сам тестить, так как мне стало подорительные
код отправки собщения в чат.
<ник> test - ето отрвавляет текста конкретнуму челу так что собщения могут видить все(кратко ето общак).
%<ник> test - ето отправка текста конкретному челу анонимно (кратко ето назывется приватка).
%clan% test - ето если вы состоите в семьи/клане.
Как и в льюбом нормальном чате есть смайлики.)
В конкретном чате они имели тако вид:
:456:
:004:
:789:
и так дале.
Я себе подумал а если зделать вот так:
%<:456:> test
И что вы думаете, в чат послалось собщение такого вида:
14:58:28 мой_ник для %IMG border=0 src=http://image.neverlands.ru/chat/smiles/smiles_456.gif style="cursor:hand"
onClick="ins_smile('456')":: test
Вдруг мне чото в голову збрело написать:
%<<img src=>> testЯ был в шоке. В чат отправилась неопазнаная картинка.
Я написал такой скрипт:
%<<a href=>> test
В чат отпрввилась ссылка.
Мне сразу пришла мысиль вставить алерт:
%<<img src=javascript:alert()?>> test
Але тут чото было не то, нехочело оно спринимать скрипт...я уже на то время разными извесными способами тестил но результата небыло..Жалко всетаки.
В етой стате я б хотел покзать что даже крупные проекты имеют баги, только нужно их искать.)))
Вот здесь есть видео: http://webfile.ru/1392204
В видео есть много синтаксических ошыбок так что извините.
На даной момент багу уже закрыли.