итак, моя первая уязвимость в действительно популярном скрите.

итак, на этот раз это XSS присутствует в
Berkeley Open Infrastructure for Network Computing - версию определить неудалось, предполагается что во всех ныне используемых.

http://boinc.berkeley.edu/ - сайт разработчика

Уязвимость позволяет удаленному пользователю произвести XSS нападение.

Уязвимость существует из-за недостаточной обработки входных данных в параметре 'id' в сценарии forum_forum.php.Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольный код сценарий в браузере жертвы.

пример:

http://www.malariacontrol.net/forum_forum.php?id=3"><script>alert(99)</script>

т.е. мы подставляем сразу после id=**свой скрипт и всё

также вы сами можете найти мноджество сайтов с такой уязвимостью вбив в гугле BONIC

Уязвимость существует из-за недостаточной обработки данных в адресной строке.
no comments....

:))) ну а как надо было?

Уязвимость существует из-за недостаточной обработки входных данных в параметре 'id' в сценарии forum_forum.php
например

спасибо :) обновил.

дык она же не активная даже =/

дык она же не активная даже =/

ну какая есть :) была бы активная думаю в паблик бы не выкладывал.

\6/, сразу видно - ты хакер. такие крутые Xss находишь! Что просто вах!

только вопрос - кому они такие нужны.. ? жаль что ты вряд ли на этот вопрос ответишь.

\6/, сразу видно - ты хакер. такие крутые Xss находишь! Что просто вах!

только вопрос - кому они такие нужны.. ? жаль что ты вряд ли на этот вопрос ответишь.

хм, как тебе ответить, сразу видно что это типа наезд :)
знаеш.. я тебе так отвечу:
я постю эти ххс для того, чтобы:
1-если возникнет вопрос "а какие есть баги в этом движке, ато на секлабе ничего не нашёл" могли зайти в эти темы
2-для того чтобы люди видели что я активе, и в следующий раз я не получил отказа в принятии в МОА.

Чего только человек не сделает, что отдать свою жизнь кому-то.. или скорее чему-то.. Натянутые на ж0 старания...

Чего только человек не сделает, что отдать свою жизнь кому-то.. или скорее чему-то.. Натянутые на ж0 старания...
непонял.. понял тока то что ты сказал что-тто плохое :(

Он сказал что ты из жопы лезешь чтобы тебя взяли в МОА )

Он сказал что ты из жопы лезешь чтобы тебя взяли в МОА )

а он что-то имеет против? :)

1-если возникнет вопрос "а какие есть баги в этом движке, ато на секлабе ничего не нашёл" могли зайти в эти темы


О да, такую сложнейшую и запутаную xss ооочень сложно найти.



p.s.лови еще одну
http://www.malariacontrol.net/forum_thread.php?id=425"><script>alert(/heek!/)</script>

И еще.
В поле email.
http://www.malariacontrol.net/login_action.php

И еще одну

http://www.malariacontrol.net/forum_subscribe.php?action=subscribe&thread=425"><script>alert()</script>

Нашел 1 паршивую xss и уже выпрыгиваеш из штанов.

я непонимаю, какого вы все наезжаете?????? ненравица - пройдите мимо!

я непонимаю, какого вы все наезжаете?????? ненравица - пройдите мимо!

Если чтото делаеш, то делай до конца, и без этого пафоса - Йа ЙА ЙА!!!

Если чтото делаеш, то делай до конца, и без этого пафоса - Йа ЙА ЙА!!!

а что я дедаю? я нашёл уязвимость, выложил, не для того чтобы показать какой я мега хакенр, а для того чтобы другие знаю что она там есть. что-то ненравица - МИМО!

Икокого вы здесь оффтоп развели, хекеры =(
Ksander и \6/ - один хрен вы кидисы =)
Погоня за репой хххмм. Смешно.
Сори... Не сдержался =\

я нашёл уязвимость, выложил, не для того чтобы показать какой я мега хакенр, а для того чтобы другие знаю что она там есть. что-то ненравица - МИМО!

Еще это забыл

2-для того чтобы люди видели что я активе, и в следующий раз я не получил отказа в принятии в МОА.


Помойму это опровергает твои же слова

не для того чтобы показать какой я мега хакенр



1M}{0

Еще это забыл


Помойму это опровергает твои же слова



1M}{0

ты путаеш понятия "активный на форуме человек" и "мега хакер"

PS
всё, игнор больше небуду тебе отвечать.

2\6/ Имхо нагугленные Xssки можно и в существующую тему выкладывать=\. В той что ты представил нет ничего особенного.

И что вы тут развели?...
Повторюсь в сотый раз, для Xss есть 2 отдельные темы!
Закрыто, оффтопы потерты...