ANTICHAT — форум по информационной безопасности, OSINT и технологиям
ANTICHAT — русскоязычное сообщество по безопасности, OSINT и программированию.
Форум ранее работал на доменах antichat.ru, antichat.com и antichat.club,
и теперь снова доступен на новом адресе —
forum.antichat.xyz.
Форум восстановлен и продолжает развитие: доступны архивные темы, добавляются новые обсуждения и материалы.
⚠️ Старые аккаунты восстановить невозможно — необходимо зарегистрироваться заново.
 |
22.11.2006, 07:05
|
|
Новичок
Регистрация: 21.11.2006
Сообщений: 29
Провел на форуме:
90591
Репутация:
33
|
|
УЖОС vBulletin 3.5.3
у вас на сайте написано про уязвимость XSS в vBulletin 3.5.3, и что с помощю её можно взломать форум, но какой в ней толк, авторизироваться по кукам в данной версии нельзя?
я проверял, ставил себе форум, потом искал в БД свою кукю - её там нет
при каждом переходе на страницу кука меняется, а когда юзер выходит - она исчезает из базы.
Выдернул дамп базы данных, но расшифровать хэш мне не удалось, ни онлайн сервисами, ни прогами  ((
6110499f6af537b21360369de5f01346, соль - <N,
(может кто-нить поможет - буду неописуемо благодарен)
Больше никаких багов вроде бы нет у этого форума
подскажите, может есть ещё какие-нибудь баги?
заранее благодарен |
|
|
22.11.2006, 07:14
|
|
Новичок
Регистрация: 21.11.2006
Сообщений: 29
Провел на форуме:
90591
Репутация:
33
|
|
Вот ещё вопрос:
уязвимости из более поздних версий vBulletin 3.5.3 могут в нём быть? или они скорее всего существуют в обновлённых скриптах?
|
|
|
|
22.11.2006, 08:13
|
|
Green member
Регистрация: 28.12.2005
Сообщений: 376
Провел на форуме:
5559831
Репутация:
1833
|
|
Насколько я знаю Кук в базе нету ....
А про уязвимость скажу так :
Если включены опции "Enable Email features" и "Allow Users to Email Other Member"
И если правильно сформулировать запрос то ты можеш украсть у жертвы куки,которые прийдут на снифер /
но расшифровать хэш мне не удалось, ни онлайн сервисами
Тебе и неудасься розшифровать хеши с солью онлай сервесами  |
|
|
|
22.11.2006, 08:37
|
|
Новичок
Регистрация: 21.11.2006
Сообщений: 29
Провел на форуме:
90591
Репутация:
33
|
|
Сообщение от _-[A.M.D]HiM@S-_
Насколько я знаю Кук в базе нету ....
А про уязвимость скажу так :
Если включены опции "Enable Email features" и "Allow Users to Email Other Member"
И если правильно сформулировать запрос то ты можеш украсть у жертвы куки,которые прийдут на снифер /
Тебе и неудасься розшифровать хеши с солью онлай сервесами Какой толк от кукиса, если его нет в базе, кук не даст мне авторизацию, после того, как юзер выходит, куки из базы удаляются, я проверял, можно даже не жать на кнопку выхода, достаточно закрыть браузер. Куки не помогут, так что баг с куками багом можно не считать, толку от него ноль 
Расшифровывать пытался не только онлайн сервисами.
|
|
|
|
23.11.2006, 15:50
|
|
Новичок
Регистрация: 21.11.2006
Сообщений: 29
Провел на форуме:
90591
Репутация:
33
|
|
Кстати Xss там не робит, походу одмин прикрыл уязвимость.
|
|
|
|
|
|
|
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
|
|
|
|
![Аватар для _-[A.M.D]HiM@S-_](/avatars/avatar21104.jpg?228821){kind=avatar}
Похожие темы
Линейный вид
