Форум АНТИЧАТ

Форум АНТИЧАТ (https://forum.antichat.xyz/index.php)
-   Чаты (https://forum.antichat.xyz/forumdisplay.php?f=10)
-   -   XSS в он-лайн игре "Дозоры"? (https://forum.antichat.xyz/showthread.php?t=37599)

inlanger 10.04.2007 14:40
XSS в он-лайн игре "Дозоры"?
 
Пишу в чате одной он-лайн игры ь=%

и выдает:
Код:
-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------^javascriptjavascriptjavascriptjavascriptjavascriptjavascriptjavascriptXML Parsing Error: not well-formed Location: http://game.dozory.ru/cgi-bin/chat.cgi Line Number 1, Column 264:<?xml version="1.0" encoding="koi8-r"?><block name="chat"><chat_buttons/><messages><message><h>14</h><m>33</m><md5>4cc0e80ba8039345fcd6d36440a14967</md5><msg><sender><id>643607</id><magic_align>Dark</magic_align><nick>Тёмный Мыслитель</nick></sender><text>грр-х ь=%</text></msg><sender>643607</sender><type>simple</type></message></messages><self><is_moderator>0</is_moderator></self><time>1176201212</time></block>
как это можно использовать???

даже можно так писать ь=, но без мягкого знака не работает...

Horsekiller 10.04.2007 15:42
Это не XSS.
XSS - возможность вставить свой javascript в страницу.
А твой ацкий кодес на javascript явно не тянет)
Ошибка выглядит не очень многообещающе, но все рано потыкаю сейчас.

Да и XSS на dozory.ru - вещь бесполезная, там сессия привязывается к IP, даже если уведешь - ничего путного не получится =/

DimOnOID 10.04.2007 15:48
http://game.dozory.ru/cgi-bin/register.cgi


там вот есть XSS пасива канечно...ковырять её надо..
поля Пароль,Подтвердите пароль

Isis 10.04.2007 16:46
Че там ковырять то...
Поле "пароль", "подтвердите пароль"
Код:
"><script>alert("xss")</script>

inlanger 10.04.2007 16:53
Кто-то поможет? Всё-таки интересно учудить что-нить весёлое с проэктом, в котором крутятся не малые деньги!

guest3297 10.04.2007 17:20
Сюдя по ошибке это парс иксэмэл.

inlanger 10.04.2007 17:34
Да вижу, что это сбой парса...Но можно так добраться до других параметров? И не значит ли что игра как сыр дырявая?

inlanger 10.04.2007 23:30
Никому не интересно, или никто ничего не может сделать? Хочется послушать хотя бы мнения разных людей...

Luc1fer 27.04.2007 16:00
Да как сказано выше, там привязка сессии к компу....Да и с этой хней врятли что-то толковое можно сделать


Время: 18:39