ANTICHAT.XYZ    VIDEO.ANTICHAT.XYZ    НОВЫЕ СООБЩЕНИЯ    ФОРУМ  
Баннер 1   Баннер 2
Antichat снова доступен.
Форум Antichat (Античат) возвращается и снова открыт для пользователей. Здесь обсуждаются безопасность, программирование, технологии и многое другое. Сообщество снова собирается вместе.
Новый адрес: forum.antichat.xyz
Вернуться   Форум АНТИЧАТ > Оффтоп > Болталка
Перезагрузить страницу Задача: XSS mail.ru
   
Ответ
Страница 1 из 2 1 2 >
 
Опции темы Поиск в этой теме Опции просмотра

Задача: XSS mail.ru ПРИЗ - 10 вмз!!!
  #1  
Старый 10.01.2008, 09:05
Аватар для zloy_admin
zloy_admin
Познающий
Регистрация: 04.01.2008
Сообщений: 31
Провел на форуме:
166583

Репутация: 15
Exclamation Задача: XSS mail.ru ПРИЗ - 10 вмз!!!
Приз - 10WMZ тому, кто первый решит такую задачу:
Придумайте письмо, при открытии которого через ВЭБ
интерфейс юзера автоматически отправит на заданный урл.
Письмо должно быть вида:
<HTML>
..........
</html>

К сведению:
При создании письма через ВЭБ в режиме
"Простой текст" вписываем
Код HTML:
<BODY ONLOAD=alert('XSS')>
затем нажимаем на "Расширенный формат" - и выскакивает алерт.
Вывод - дырки есть
Решения писать в ПМ
Последний раз редактировалось zloy_admin; 10.01.2008 в 09:16..
 
Ответить с цитированием

  #2  
Старый 10.01.2008, 09:52
Аватар для zloy_admin
zloy_admin
Познающий
Регистрация: 04.01.2008
Сообщений: 31
Провел на форуме:
166583

Репутация: 15
По умолчанию
просьба проверять решение на практике перед тем, как присылать
 
Ответить с цитированием

  #3  
Старый 10.01.2008, 10:17
Аватар для c411k
c411k
Reservists Of Antichat - Level 6
Регистрация: 16.07.2005
Сообщений: 653
Провел на форуме:
8854279

Репутация: 2727


По умолчанию
Цитата:
затем нажимаем на "Расширенный формат" - и выскакивает алерт.


а можно скрин? либо у меня лыжи не едут, либо там нету твоего "расширенного формата"..
__________________
ПИУ-ПИУ...
Последний раз редактировалось c411k; 10.01.2008 в 10:26..
 
Ответить с цитированием

  #4  
Старый 10.01.2008, 10:20
Аватар для bul.666
bul.666
Banned
Регистрация: 06.06.2006
Сообщений: 944
Провел на форуме:
3986705

Репутация: 1403


Отправить сообщение для bul.666 с помощью ICQ
По умолчанию
Цитата:
либо там нету твоего "расширенного формата"..
Оно работает тока в Ie
 
Ответить с цитированием

  #5  
Старый 10.01.2008, 10:23
Аватар для bul.666
bul.666
Banned
Регистрация: 06.06.2006
Сообщений: 944
Провел на форуме:
3986705

Репутация: 1403


Отправить сообщение для bul.666 с помощью ICQ
По умолчанию
Кстати при долбаном "расширенном формате" XSS работает, но при отправке сработает фильтр...
Например <input type=button onclck='alert()'>
Преобразуеца как <input type=button filtered-onclck='alert()'>
<script> => <xscript>
<body onload=> Помойму выще срезает... Не проверял
 
Ответить с цитированием

  #6  
Старый 10.01.2008, 10:29
Аватар для zloy_admin
zloy_admin
Познающий
Регистрация: 04.01.2008
Сообщений: 31
Провел на форуме:
166583

Репутация: 15
По умолчанию
самый первый фильтр ругается даже на пустые <script></script> во многих его проявлениях...
 
Ответить с цитированием

  #7  
Старый 10.01.2008, 10:40
Аватар для zloy_admin
zloy_admin
Познающий
Регистрация: 04.01.2008
Сообщений: 31
Провел на форуме:
166583

Репутация: 15
По умолчанию
и еще: фильтр " заменяет на \"
но вот если кодировать, то пропускает
но другая проблема: обойти фильтр можно кодированием, но потом почему-то всё, что было закодировано не идет на исполнение.
Кажется, что почтовик сначала "пережевывает" ХТМЛ, а потом заново собирает страницу письма через ПХП....
 
Ответить с цитированием

  #8  
Старый 10.01.2008, 10:53
Аватар для zloy_admin
zloy_admin
Познающий
Регистрация: 04.01.2008
Сообщений: 31
Провел на форуме:
166583

Репутация: 15
По умолчанию
вот раньше лафа была ))
 
Ответить с цитированием

  #9  
Старый 10.01.2008, 17:18
Аватар для kot777
kot777
Seo Pozitive
Регистрация: 13.08.2004
Сообщений: 779
Провел на форуме:
5581277

Репутация: 1635


Отправить сообщение для kot777 с помощью ICQ
По умолчанию
А потом ты проспамишь массово, и пустишь всех пользователей, например на связку...и это за 10 вмз? Ты букву "k" не пропустил?
__________________
ICQ 328498627

Хочешь Элитный OpenVPN за 10 у.е ?
 
Ответить с цитированием

  #10  
Старый 11.01.2008, 07:56
Аватар для zloy_admin
zloy_admin
Познающий
Регистрация: 04.01.2008
Сообщений: 31
Провел на форуме:
166583

Репутация: 15
По умолчанию
короче, решение кто-нибудь нашел? или хотябы близок к нему?
 
Ответить с цитированием
Ответ
Страница 1 из 2 1 2 >



« Предыдущая тема | Следующая тема »
Похожие темы
Тема Автор Раздел Ответов Последнее сообщение
Активная XSS на mail.ru Dronga E-Mail 69 05.04.2008 01:56
xss mail.ru Майор E-Mail 19 22.08.2005 18:41
Cross Site Scripting FAQ k00p3r Уязвимости 6 12.06.2005 16:23



Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
 


Быстрый переход




ANTICHAT.XYZ