Форум АНТИЧАТ
Страница 1 из 4 1 2 3 4 >
Показывать 40 сообщений этой темы на одной странице

Форум АНТИЧАТ (https://forum.antichat.xyz/index.php)
-   Разное - Покупка, продажа, обмен (https://forum.antichat.xyz/forumdisplay.php?f=52)
-   -   Xss в крупном Российском трекере (https://forum.antichat.xyz/showthread.php?t=77463)

geforse 17.07.2008 15:06
Xss в крупном Российском трекере
 
Пассивная XSS в крупнейшем Российском трекере (не торрентс)

За подробностями 643~770
---------------------------------------------------------------------------
Возможность слить БД (~1000000 пользователей) и получить доступ к Админ-Панели!

.Striker 17.07.2008 15:10
Возможность слить БД

как ты через xxs бд будешь сливать?)

geforse 17.07.2008 15:13
.Striker
Ну давай подумаем:

Код:
1. Получаем куки админа
2. Сразу идём в админку
3. Резервная копия БД
4. Начать копирование
Так более яснее ?

.Striker 17.07.2008 15:14
ты сначала получи куки и без палева слей её если получится :)
а потом отпиши

если сайт крупный, то думаю тама за всем пасут

geforse 17.07.2008 15:18
Доступ в админ панель я получал.
Банальное сообщение: "У вас тут плохо сайт работает"
Куки у меня и я админ!
-------------------------------------------------------------------

Сейчас снифер античатовский прост не работает))
У кого есть альтернативный, пишите, наделаю скринов бд, сайта и админки

Цитата:
Сообщение от .Striker
если сайт крупный, то думаю тама за всем пасут
XSS я обнаружил ~2 недели назад, ещё актуальна и закрывать повидимому не собираются

З.Ы. Плиз без флуда ( =

.Striker 17.07.2008 15:22
сниффер
<?php
$ip = getenv("REMOTE_ADDR");
$rhost = getenv("HTTP_REFERER");
$input = getenv("QUERY_STRING");
$date=(date("d.m.y"));
$time=(date("H:i"));
$fp = @fopen("snif.txt", "a");
@fputs($fp, "Дата: [ $date ] Время: [ $time ] IP: $ip Хост: $rhost Инфа $input \n");
@fclose($fp);
?>

De-visible 17.07.2008 15:24
Цитата:
Сообщение от geforse
Доступ в админ панель я получал.
Банальное сообщение: "У вас тут плохо сайт работает"
Куки у меня и я админ!
-------------------------------------------------------------------

Сейчас снифер античатовский прост не работает))
У кого есть альтернативный, пишите, наделаю скринов бд, сайта и админки



XSS я обнаружил ~2 недели назад, ещё актуальна и закрывать повидимому не собираются

З.Ы. Плиз без флуда ( =
Чем не устроил сниффер от GreenBear?

Kaimi 17.07.2008 15:27
Продавал бы тогда уж сразу бд

geforse 17.07.2008 15:31
Цитата:
Сообщение от De-visible
Чем не устроил сниффер от GreenBear?
Я его и имел ввиду (XSS тестировалась именно на нём) {он сейчас не работает(}

Цитата:
Сообщение от Kaimi
Продавал бы тогда уж сразу бд
Что-то не хочется мне торговать БД ( =
-----------------------------------------------

Все предложения по поводу XSS в ПМ или ICQ

geforse 17.07.2008 18:46
XSS в сообщении, выглядит так: http://ipicture.ru/uploads/080717/3WqCBZY7Lf.jpg


Время: 21:12
Страница 1 из 4 1 2 3 4 >
Показывать 40 сообщений этой темы на одной странице