Форум АНТИЧАТ - любителям Xss

УСТРАНЕНИЕ КОНКУРЕНТОВ. БЛОКИРОВКА ДОМЕНОВ, БЛОКИРОВКА ИНСТАГРАМ/ТЕЛЕГРАМ И ДРУГОЕ. ПРОВЕРЕННЫЙ СЕЛЛЕР.

Antichat снова доступен.
Форум Antichat (Античат) возвращается и снова открыт для пользователей. Здесь обсуждаются безопасность, программирование, технологии и многое другое. Сообщество снова собирается вместе.
Новый адрес: forum.antichat.xyz

		Форум АНТИЧАТ > Программирование > PHP, PERL, MySQL, JavaScript
любителям Xss

Опции темы

Поиск в этой теме

Опции просмотра

любителям Xss

23.12.2006, 02:17

Abra

Постоянный

Регистрация: 17.09.2005

Сообщений: 375

Провел на форуме:
993362

Репутация: 175

любителям Xss

Есть маленькая просьба, для любителей активных XSS.
Написал небольшой парсер ББ кодов, постарался уделить максимальное внимание безопасности. Парсер пока еще сырой, но работает с тэгами URL и IMG, насколько я знаю - самыми опасными тэгами))
Отсюда просьба - проверить парсер на наличие активных XSS - буду очень благодарен! Всем кто поможет поставлю плюс!
Замечания о недостаточной проверке ссылок на валидность (т.е. по маске http://www.и.т.п ) просьба не оставлять т.к. интересует только наличие XSS
http://cyber.vip.su/bb.php

Последний раз редактировалось Abra; 23.12.2006 в 02:19..

23.12.2006, 02:40

nc.STRIEM

Members of Antichat - Level 5

Регистрация: 05.04.2006

Сообщений: 1,066

Провел на форуме:
3493315

Репутация: 1228

Отправить сообщение для nc.STRIEM с помощью ICQ

кинь исходник проще искать будет

__________________
No СПлоА - No World!
Как узнать информацию о посетителях сайта

23.12.2006, 02:43

*D1VER

Участник форума

Регистрация: 05.12.2006

Сообщений: 112

Провел на форуме:
685950

Репутация: 175

Отправить сообщение для *D1VER с помощью ICQ

Активных хсс пока не нашёл но сниффер Ачатовский стоит уже!
см. лог здесь
http://antichat.ru/s/(кое_што)/log.php

Последний раз редактировалось *D1VER; 23.12.2006 в 10:02..

23.12.2006, 02:49

nc.STRIEM

Members of Antichat - Level 5

Регистрация: 05.04.2006

Сообщений: 1,066

Провел на форуме:
3493315

Репутация: 1228

вот:

Цитата:

[_IMG]JavaScript:alert(document.cookie)[/IMG]
[_URL=javascript:alert(document.cookie)]Klick[/URL]
[_URL]javascript:alert(document.cookie)[/URL]

естественно без _ т.к это чеб форум не резал))

кстати парсит НЕ правильно!
вот:

Цитата:

[_URL=11]Ссылка 1[_/URL] Ссылка 2[_/URL]
[_URL][_IMG]ссылка[_/IMG][_/URL]

парсит как:
<a href="11">Ссылка 1[/URL] Ссылка 2[/URL][URL]<img src="ссылка" /></a>

Цитата:

Сообщение от *D1VER

Активных хсс пока не нашёл но сниффер Ачатовский стоит уже!
см. лог здесь
http://antichat.ru/s/lol/log.php

А понту?? картинку со снифером можно куда угодно вставить, но чтоб получить куки нужно произвольный скрипт выполнить!

__________________
No СПлоА - No World!
Как узнать информацию о посетителях сайта

Последний раз редактировалось nc.STRIEM; 23.12.2006 в 03:10..

23.12.2006, 02:57

*D1VER

Участник форума

Регистрация: 05.12.2006

Сообщений: 112

Провел на форуме:
685950

Репутация: 175

не спорю! а вдруг там переменные pass=&login=&
будут передаваться методом get ? тогда пригодиться!

23.12.2006, 02:59

nc.STRIEM

Members of Antichat - Level 5

Регистрация: 05.04.2006

Сообщений: 1,066

Провел на форуме:
3493315

Репутация: 1228

Цитата:

Сообщение от *D1VER

не спорю! а вдруг там переменные pass=&login=&
будут передаваться методом get ? тогда пригодиться!

очень интересно как ты собрался их выдергивать!!!
есле не сложно раскажи)) можеш даже с примерами!)))))

__________________
No СПлоА - No World!
Как узнать информацию о посетителях сайта

23.12.2006, 03:03

*D1VER

Участник форума

Регистрация: 05.12.2006

Сообщений: 112

Провел на форуме:
685950

Репутация: 175

ну вот например лог другого снифера!
глянь на реферер!
http://antichat.ru/s/(кое_што)/log.php

Последний раз редактировалось *D1VER; 23.12.2006 в 10:03..

23.12.2006, 03:12

nc.STRIEM

Members of Antichat - Level 5

Регистрация: 05.04.2006

Сообщений: 1,066

Провел на форуме:
3493315

Репутация: 1228

Цитата:

Сообщение от *D1VER

ну вот например лог другого снифера!
глянь на реферер!
http://antichat.ru/s/Hak/log.php

ну это надо быть полным дол**м чтоб после авторицации везде гетом передавать логин и пас...

__________________
No СПлоА - No World!
Как узнать информацию о посетителях сайта

23.12.2006, 03:18

*D1VER

Участник форума

Регистрация: 05.12.2006

Сообщений: 112

Провел на форуме:
685950

Репутация: 175

да get'ом ещё пользуються!
а за снифаки сорри! я просто со своим ником 3атупил )) приходиться нахлебничать! но исключительно в своих целях!

#10

23.12.2006, 13:28

Abra

Постоянный

Регистрация: 17.09.2005

Сообщений: 375

Провел на форуме:
993362

Репутация: 175

Цитата:

[_IMG]javascript:alert(document.cookie)[/IMG]
[_URL=javascript:alert(document.cookie)]Klick[/URL]
[_URL]javascript:alert(document.cookie)[/URL]

Ну да - про самую фигню как всегда забыл. Но думаю это автоматом закроется когда ссылки будут проверять на валидность и будет добавляться http:// в начало.

Цитата:

кстати парсит НЕ правильно!

Ну с парсингом еще надо будет работать. Там много глюков в первую очередь от того, что он фильтрует вложенность некоторых тэгов. Типа [_URL=[_IMG]123[_/IMG]]456[_/URL]. Основной упор я сейчас делаю именно на вложенные тэги.
Спрасибо что откликнулся, поставил +!

« Предыдущая тема | Следующая тема »

Похожие темы
Тема	Автор	Раздел	Ответов	Последнее сообщение
IE XSS Kit	.Slip	Чаты	22	23.10.2006 06:45
XSS worms	Xex	Статьи	0	02.10.2006 01:49
Xss для новичков	Micr0b	Уязвимости	0	04.06.2006 18:25

Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)

Быстрый переход