HOME FORUMS MEMBERS RECENT POSTS LOG IN  
× Авторизация
Имя пользователя:
Пароль:
Нет аккаунта? Регистрация
Баннер 1   Баннер 2
НОВЫЕ ТОРГОВАЯ НОВОСТИ ЧАТ
loading...
Скрыть
Вернуться   ANTICHAT > ПРОГРАММИРОВАНИЕ > PHP
Перезагрузить страницу любителям Xss
   
Ответ
 
Опции темы Поиск в этой теме Опции просмотра

любителям Xss
  #1  
Старый 23.12.2006, 02:17
Abra
Постоянный
Регистрация: 17.09.2005
Сообщений: 375
С нами: 10866583

Репутация: 175
По умолчанию любителям Xss
Есть маленькая просьба, для любителей активных XSS.
Написал небольшой парсер ББ кодов, постарался уделить максимальное внимание безопасности. Парсер пока еще сырой, но работает с тэгами URL и IMG, насколько я знаю - самыми опасными тэгами))
Отсюда просьба - проверить парсер на наличие активных XSS - буду очень благодарен! Всем кто поможет поставлю плюс!
Замечания о недостаточной проверке ссылок на валидность (т.е. по маске http://www.и.т.п ) просьба не оставлять т.к. интересует только наличие XSS
http://cyber.vip.su/bb.php
𝕏 Twitter Reddit Telegram Копировать ссылку
Последний раз редактировалось Abra; 23.12.2006 в 02:19..
 
Ответить с цитированием

  #2  
Старый 23.12.2006, 02:40
nc.STRIEM
Members of Antichat - Level 5
Регистрация: 05.04.2006
Сообщений: 1,066
С нами: 10578566

Репутация: 1228


По умолчанию
кинь исходник проще искать будет
 
Ответить с цитированием

  #3  
Старый 23.12.2006, 02:43
*D1VER
Участник форума
Регистрация: 05.12.2006
Сообщений: 112
С нами: 10227581

Репутация: 175
По умолчанию
Активных хсс пока не нашёл но сниффер Ачатовский стоит уже!
см. лог здесь
http://antichat.ru/s/(кое_што)/log.php
Последний раз редактировалось *D1VER; 23.12.2006 в 10:02..
 
Ответить с цитированием

  #4  
Старый 23.12.2006, 02:49
nc.STRIEM
Members of Antichat - Level 5
Регистрация: 05.04.2006
Сообщений: 1,066
С нами: 10578566

Репутация: 1228


По умолчанию
вот:
Цитата:
[_IMG]JavaScript:alert(document.cookie)[/IMG]
[_URL=javascript:alert(document.cookie)]Klick[/URL]
[_URL]javascript:alert(document.cookie)[/URL]
естественно без _ т.к это чеб форум не резал))


кстати парсит НЕ правильно!
вот:
Цитата:
[_URL=11]Ссылка 1[_/URL] Ссылка 2[_/URL]
[_URL][_IMG]ссылка[_/IMG][_/URL]
парсит как:
<a href="11">Ссылка 1[/URL] Ссылка 2[/URL][URL]<img src="ссылка" /></a>



Цитата:
Сообщение от *D1VER  
Активных хсс пока не нашёл но сниффер Ачатовский стоит уже!
см. лог здесь
http://antichat.ru/s/lol/log.php
А понту?? картинку со снифером можно куда угодно вставить, но чтоб получить куки нужно произвольный скрипт выполнить!
Последний раз редактировалось nc.STRIEM; 23.12.2006 в 03:10..
 
Ответить с цитированием

  #5  
Старый 23.12.2006, 02:57
*D1VER
Участник форума
Регистрация: 05.12.2006
Сообщений: 112
С нами: 10227581

Репутация: 175
По умолчанию
не спорю! а вдруг там переменные pass=&login=&
будут передаваться методом get ? тогда пригодиться!
 
Ответить с цитированием

  #6  
Старый 23.12.2006, 02:59
nc.STRIEM
Members of Antichat - Level 5
Регистрация: 05.04.2006
Сообщений: 1,066
С нами: 10578566

Репутация: 1228


По умолчанию
Цитата:
Сообщение от *D1VER  
не спорю! а вдруг там переменные pass=&login=&
будут передаваться методом get ? тогда пригодиться!
очень интересно как ты собрался их выдергивать!!!
есле не сложно раскажи)) можеш даже с примерами!)))))
 
Ответить с цитированием

  #7  
Старый 23.12.2006, 03:03
*D1VER
Участник форума
Регистрация: 05.12.2006
Сообщений: 112
С нами: 10227581

Репутация: 175
По умолчанию
ну вот например лог другого снифера!
глянь на реферер!
http://antichat.ru/s/(кое_што)/log.php
Последний раз редактировалось *D1VER; 23.12.2006 в 10:03..
 
Ответить с цитированием

  #8  
Старый 23.12.2006, 03:12
nc.STRIEM
Members of Antichat - Level 5
Регистрация: 05.04.2006
Сообщений: 1,066
С нами: 10578566

Репутация: 1228


По умолчанию
Цитата:
Сообщение от *D1VER  
ну вот например лог другого снифера!
глянь на реферер!
http://antichat.ru/s/Hak/log.php
ну это надо быть полным дол**м чтоб после авторицации везде гетом передавать логин и пас...
 
Ответить с цитированием

  #9  
Старый 23.12.2006, 03:18
*D1VER
Участник форума
Регистрация: 05.12.2006
Сообщений: 112
С нами: 10227581

Репутация: 175
По умолчанию
да get'ом ещё пользуються!
а за снифаки сорри! я просто со своим ником 3атупил )) приходиться нахлебничать! но исключительно в своих целях!
 
Ответить с цитированием

  #10  
Старый 23.12.2006, 13:28
Abra
Постоянный
Регистрация: 17.09.2005
Сообщений: 375
С нами: 10866583

Репутация: 175
По умолчанию
Цитата:
[_IMG]javascript:alert(document.cookie)[/IMG]
[_URL=javascript:alert(document.cookie)]Klick[/URL]
[_URL]javascript:alert(document.cookie)[/URL]
Ну да - про самую фигню как всегда забыл. Но думаю это автоматом закроется когда ссылки будут проверять на валидность и будет добавляться http:// в начало.
Цитата:
кстати парсит НЕ правильно!
Ну с парсингом еще надо будет работать. Там много глюков в первую очередь от того, что он фильтрует вложенность некоторых тэгов. Типа [_URL=[_IMG]123[_/IMG]]456[_/URL]. Основной упор я сейчас делаю именно на вложенные тэги.
Спрасибо что откликнулся, поставил +!
 
Ответить с цитированием
Ответ



« Предыдущая тема | Следующая тема »
Похожие темы
Тема Автор Раздел Ответов Последнее сообщение
Xss для новичков Micr0b Уязвимости 79 06.07.2018 22:05
XSS worms Xex Статьи 0 02.10.2006 01:49



Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
 


Быстрый переход




ANTICHAT ™ © 2001- Antichat Kft.