|
MyBB 1 (?) XSS
Нашел все теже вложеные теги в MyBB (За что Алголу БОООЛЬШОЙ респект - вложеные теги - его дело))
XSS скорее для развития и получения опыта а не для использования. Код HTML:
[color=beige][email=aaaaa@bbb.ru[url=style=`background:url(javas cript:alert(document.cookie))`s="]d[/url]]a[/email][/color]Испытано на MyBB 1.xx, работает на оффсайте. |
P.s. Я возможно сниму видео, так что тема уже забита...
|
Хм, какие тут все умные..... =)
|
И во-вторых НАПИСАНО ДЛЯ таких как ты
"УЯЗВИМОСТЬ СКОРЕЕ ДЛЯ ПРИМЕРА, ПОЛУЧЕНИЯ ОПЫТА ТЕГОВ А НЕ ДЛЯ ИСПОЛЬЗОВАНИЯ" Алгол просто придумал использовать вложеные теги в IPB ExBB и других |
Твой код нигде работать небудет. У тебя тут же будет фильтрация в теге урл так как ты за пределы тега невыходишь. И зачем тебе тег мыла вообще?
|
Придурок, он работает
|
Ты все тупее и тупее... Вообщето вложеные теги... И там тег Email.
ЧТО ЗНАЧИТ ЗАЧЕМ ОН ТАМ? Потомучто есть бага БЕЗ тегов, а я сделал с тегами чтобы показать новичкам как работают ВЛОЖЕНЫЕ ТЕГИ, дошло? Что тебе ещё пояснить? И этот код РАБОТАЕТ. Будем спорить? Поставь себе Апач (это такой сервер)) и форум (это набор специальных скриптов)) и проверь. Под Ie. Обьяснить ЕЩЁ попроще, а? И какую тебе ссылку дать? |
=) Мне уже тоже интересно кто прав.
Kez, ты ничего доказывать не обязан, но ради своей репутации - дай ссылку на хорошо посещаемый Форум где это работает именно в том виде, в котором ты дал... |
Самая большая проблема что у него код работать небудет, это длина кода в ЮРЛ а во 2-х, самая бэйсик защита во ВСЕХ солидных форумах это фильтрация в теге ЮРЛ. Тег ЮРЛ это самый защищённый тег во ВСЕХ солидных форумах. ЕСЛИ в теге ЮРЛ фильтрации нет, то естественно тег мыла не нужен и был использован чисто для понта.
|
expertlamer, щас дождемся ссылки или опровержения KEZ-а и все само молчо и тихо разрулиться.
Главное - не суетиться и все будет у всех норм. Аллилуя! |
Гы гы гы........ :D ты думаешь он нам даст ссылку? :D
Как можно дать чего нет? Ну ладно подождём его ссылку хотя врядли он её даст. И ещё. ЕСЛИ он ссылку не даст, Я ПРАВ НАХ!!!!! :cool: |
KEZ, дай ты нам ссылку! Проблем никаких нету - если ошибся, то ошибся. С кем не бывает. Ты ведь не сапер.
Если все пашет на нормальном раскрученном Форуме - то тогда expertlamer ошибся. Никаких видео давать не надо. А то можно видео сделать, что и блокнот (notepad) подвержен XSS уязвимости и при определленном финте высылает SAM и SYSTEM на мыло хакера. =) |
Правильно сказал!!!! LOL
Я вообще то White Jordan. Expert Lamer это просто титул. Звучит так. Expert Lamer White Jordan. :cool: Видешь какой у меня титул красивый? =)))))))) |
ЦИТАТА
"был использован чисто для понта." Наконецто дошло... Уфф.. Всетаки кусочек мозга остался... Я рад что ты понял... ТОЛЬКО НЕ ДЛЯ ПОНТА А СКАЖЕМ ТАК, ЧТОБЫ ПОКАЗАТЬ РАБОТУ ВЛОЖЕНЫХ ТЕГОВ. Ура! White Jordan cool! )) |
Ноу комментс
|
Чтото я непонял что там в мой адрес говорят...
Так вот, Я никогда не говорил ерунду =) Работает НА ОФФСАЙТЕ, сынок)) Вот тебе ссылка на сайт разработчиков http://mybboard.com/community И у меня на localhost'e чего уже достаточно. Только не пиши ничего больше, достал...)) Сейчас покажу тебе другую багу в MyBB БЕЗ КАВЫЧЕК. |
Ну так Я и придпологал. Твой код естественно и не работает. Происходит обычная фильтрация. :o :rolleyes:
Просто что тут признатся что ты ошибся Я не догоняю? :confused: |
Да вы что?
Он бы не сказал то что не работает!! |
В этом всё и дело что он сказал что код работает и проверен. Если бы он сразу сказал нам правду, Я бы к нему и не пристовал бы.
|
Итоги.
Я доказал что прав, а White Lox отсосал... Тег мыла был использован, т.к. нужны были два разных тега для ВЛОЖЕНОСТИ. Вроде всё... White Lox правда жутко недоволен, кричит там что ВСЕРАВНО ниче не работает)) Хотя уже видео есть)) он всеарвно кричит - что ему ещё делать... Вообщето вместо document.images[0].src=... можно использовать i=new Image;i.src=... и так все заработает... И ты опять сосешь)) Все, тема закрыта ибо я прав %) |
| Время: 21:37 |