Активные Xss
 

Люди ... подскажите, вот нашел я активную XSS на L2J 'Statistik Script' v0.09, как мне ее заюзать, а лучше где можно почитать побольше инфы про активные XSS ... (есть сплоит для этого движка вроде, но как его впарить - хз) ...

http://forum.antichat.ru/showthread.php?t=20140

Забавно, человек нашёл активную ксс, но не умеет её юзать=]]

загадка природы =\

A110ut, мб ошибка? :D шучу)

зы оффтоп)

ЖЖоте :) ...Как я понял, с помощью XSS можно спереть только куки, так? С их помощью нельзя например залить шел на сервак? + в это движке есть уязвимость http://***.**.**/?page=index.php? -->все тормозить начинает и страницу бажит ... Что я могу с ее помощью сделать? (если вы конечно понимаете про что я =) ...

Если это куки админа какого нибудь нормального сайта (в данном случае имеется в виду админа не сайта стоящего на беспл. хостинге, т.к. там чаще всего запрещён пхп) то шелл залить можно спокойно через админку.
Если идёт такой запрос, вместо index.php подставь test.php , или любое другое название, главное что бы файл отсутствовал на сервере. И посмотри на результат.

1) вот именно что сайт (скрипт) находится в LAN, и там я админку не нашел, хоть есть форма регистрации и авторизации, это стандартный игровой сервер ''Линейки''
2) пробывал разные и test.php и др., но бажит только при значении ?page=index.php? ... Видел даже сплоит для этого движка, но как им пользоваться -- хз :( ... и в описании есть только типо используеться баг при помоще именно ?page=index.php? (этой страницы наверное не существует, хотя ..)
PS .. Использовать пассивную XSS не могу, т.к. там нету даже типо "почты" ...

Дык кто что может посоветовать по этому поводу, движок L2J 'Statistik Script' v0.09, сервер XPюша SP2, есть вот этот "баг" с параментром ?page= и страницей к нему index.php? ...
Как я понял это php-inj =) ...

ктоме активной хсс можно также если у тебя есть сплоит вписть такой код

Но все нормальные сплоиты стоят деньги.. :)