Isis
21.03.2008, 12:41
http://odnoklassniki.ru/res/default/Images/logo.gif
[Intro]
Спустя 10 минут после регистрации на odnoklassniki.ru, была найдена активная xss...
Собственно регистрация для этого и была произведена :)
Что с неё взять?
-Конечно cookies (Не печенье).
Такой баг на огромнейшей соц.сети может вызвать п.зд.ц
К чему я все...начнем...
[Vulnerability]
Авторизуемся на сайте http://odnoklassniki.ru, если нет акка, пройдите 2х минутную авторизацию.
Далее проходим на свою личную страницу -> Основное -> Редактировать личные данные ->
(*.odnoklassniki.ru/dk?st.cmd=userSelfProfileEdit)
Ваше имя - <script>alert(/1/)</script>
Сохранить.
Переходим в "Форум" (*.odnoklassniki.ru/dk?st.cmd=userForum) -> Добавить -> Уже видна активка, но это не то :)
Пишем что-нибудь в сообщении -> Добавить
Переходим в свой форум -> Клацаем по ссылке "Написать сообщение" (далее [1]) ->
Ну и вот она активная xss :)
//Везде на вашей странице где есть сылка "Написать сообщение" + кликнув по ней будет активная xss
//будь то "Друзья" , "Друзья друзей", Сообщества" ...везде
[Application]
Жертве необходимо быть авторизованным на сайте и всего перейти по вашей ссылке [1] где и будет произведен ваш js код...
Желаю удачи
[Video]
ROFL, http://www.x3k.name/odnoklassniki.ru[active.xss]-Isis.rar
[Copyright]
© by Isis 13.03.2008, xeka.ru (http://xeka.ru)
Greetz to: gemaglabin, blackybr, +toxa+, ettee, b00zy_c0d3r, NOFEAR, Rebz, Barsik, c411k, Elekt, ettee, .fuf, lamarez, cash, limpompo, madnet, Great, podkashey, KEZ, GreenBear, w1z, m0nzt3r, PEPSICOLA :D, Puff, Proteus and other....
[Intro]
Спустя 10 минут после регистрации на odnoklassniki.ru, была найдена активная xss...
Собственно регистрация для этого и была произведена :)
Что с неё взять?
-Конечно cookies (Не печенье).
Такой баг на огромнейшей соц.сети может вызвать п.зд.ц
К чему я все...начнем...
[Vulnerability]
Авторизуемся на сайте http://odnoklassniki.ru, если нет акка, пройдите 2х минутную авторизацию.
Далее проходим на свою личную страницу -> Основное -> Редактировать личные данные ->
(*.odnoklassniki.ru/dk?st.cmd=userSelfProfileEdit)
Ваше имя - <script>alert(/1/)</script>
Сохранить.
Переходим в "Форум" (*.odnoklassniki.ru/dk?st.cmd=userForum) -> Добавить -> Уже видна активка, но это не то :)
Пишем что-нибудь в сообщении -> Добавить
Переходим в свой форум -> Клацаем по ссылке "Написать сообщение" (далее [1]) ->
Ну и вот она активная xss :)
//Везде на вашей странице где есть сылка "Написать сообщение" + кликнув по ней будет активная xss
//будь то "Друзья" , "Друзья друзей", Сообщества" ...везде
[Application]
Жертве необходимо быть авторизованным на сайте и всего перейти по вашей ссылке [1] где и будет произведен ваш js код...
Желаю удачи
[Video]
ROFL, http://www.x3k.name/odnoklassniki.ru[active.xss]-Isis.rar
[Copyright]
© by Isis 13.03.2008, xeka.ru (http://xeka.ru)
Greetz to: gemaglabin, blackybr, +toxa+, ettee, b00zy_c0d3r, NOFEAR, Rebz, Barsik, c411k, Elekt, ettee, .fuf, lamarez, cash, limpompo, madnet, Great, podkashey, KEZ, GreenBear, w1z, m0nzt3r, PEPSICOLA :D, Puff, Proteus and other....