Нашол Xss-вконтакте
 

После долгих лазаний по контакту нашол одну пассивную XSS:

она нахходится в фильтре друзей:

открвываем "мои друзья" и в фильтре друзей пишем код)!

http://img73.imageshack.us/img73/1086/xekwn8.th.jpg

не знаю можно ли это както применить, но факт что она есть.

По какому контакту можно обьяснить icq иле чего ?

Vkontakte.ru

получилось =)


http://i008.radikal.ru/0804/95/729f25a1324at.jpg

НАЖМИ на него!

Я недопонял куда вводить

ми накурился

Открываешь "Мои друзья" - http://vkontakte.ru/friend.php
В правом верхнем углу есть поле: "Фильтр друзей".
в него пишешь:
<script>alert('Античат!'</script>
и ждешь немного

гон в опере не пашет

в фф тоже пзц лоленг

минус нах

ДА все Работает!
Уже куки у себя стырил)

где? в чем ? браузер, версия! чо за голые факты и пальцы гнем?

блин народ , перед тем как это выложить - прочти подобные темы...
БОЯН !!!!! - тем более бесполезный...

у меня нет, это из за знака ! - а это бля боян и ниипёт

не работает ни в опере ни в осле

xss работает в FireFox :/

версия браузера и код сюда киньте

в фф у меня не работает я наверно напился как похотливый кабан :D

FF 2.0.0.14

<image src="" onerror=alert('xek')>

угу есть тема тока толку с нее =\ это я как понял из за onerror когды мы все команды расшифруеем ! и onerror уже есть :D

xcedz, зря минус, хсс работает в этом поле ещё Трэш её описывал, когда нашёл в группах, это хсс в поле активного поиска, поле появляется после того как будет > какого-то количества друзей/групп, тэги любые, ценность 0

в том то и дело что ноль а я погарячился :D

пернисти тему надо в другую ветку имхо

Все работает))

А толку то? это тема сродни символу ! не более что тут еще обсудить?

по-моему, об этом уже раз тыщу писали...

http://sverdlovesk.net/view/9743/
http://sverdlovesk.net/view/9745/

МОЖ ещё туды iframe вставить) аль мож целый шелл))
Да не, тут чёт както нитак... Над чёнидь помащьнее

Заходим на страницу vkontakte.ru и пишем в адресной строке javascript:alert(document.cookie); Просьба не распространяться, пощу в МОА специально пока пашет, потом спущу в паблик

а толк? от того что нужно зайти на контакт потом так сказать убрать силку и подставить javascript:alert(document.cookie); ето даже не пасив хсс, так можно зделать везде, зайдите на forum.antichat.ru и пишем в адресной строке javascript:alert(document.cookie);
Разве что ету фичу можно использувать для СИ =\

это прикол был.

а как можно стырить куки?
автор не написал

http://i039.radikal.ru/0805/ef/6c65503b7740.jpg
Opera 9.24
Работает!

все норма ! у мну прокатило ! =) скрин дать ???

кстати на счот первого скрина чо то он маленький =) и нифига не видно =) но пофф серогно все катит =))))

еще актуально а то в в опере 9.64 не пашет

давно уже не актуально

походу прикрыли, а то у меня не пашет...

НЕАКТУАЛЬНО, ЗАКРЫТО!!!

задолбали!