ANTICHAT — форум по информационной безопасности, OSINT и технологиям
ANTICHAT — русскоязычное сообщество по безопасности, OSINT и программированию.
Форум ранее работал на доменах antichat.ru, antichat.com и antichat.club,
и теперь снова доступен на новом адресе —
forum.antichat.xyz.
Форум восстановлен и продолжает развитие: доступны архивные темы, добавляются новые обсуждения и материалы.
⚠️ Старые аккаунты восстановить невозможно — необходимо зарегистрироваться заново.
02.11.2015, 16:13
|
|
Познавший АНТИЧАТ
Регистрация: 09.05.2015
Сообщений: 1,066
Провел на форуме:
238786
Репутация:
40
|
|
Ребятки такой вопрос. Возможно ли отослать письмо на маил почту @mail.ru с hml так что бы при получении его, получатель открыл и отработал JS. Но имеено при открывании его.
|
|
|
02.11.2015, 16:31
|
|
Постоянный
Регистрация: 18.07.2013
Сообщений: 300
Провел на форуме:
61136
Репутация:
32
|
|
Сообщение от BabaDook
↑
Ребятки такой вопрос. Возможно ли отослать письмо на маил почту @mail.ru с hml так что бы при получении его, получатель открыл и отработал JS. Но имеено при открывании его.
Если у тебя актуальная xss то да
|
|
|
|
02.11.2015, 16:51
|
|
Познавший АНТИЧАТ
Регистрация: 09.05.2015
Сообщений: 1,066
Провел на форуме:
238786
Репутация:
40
|
|
Сообщение от WallHack
↑
Если у тебя актуальная xss то да
а блин, вот этот момент я и упустил.
|
|
|
|
03.11.2015, 03:00
|
|
Познающий
Регистрация: 25.10.2007
Сообщений: 46
Провел на форуме:
318186
Репутация:
2
|
|
Вообщем вернусь опять к вам за помощью по данному вопросу.
Сообщение от GroM88
↑
Ребят) вопрос такой вообщем есть фича на сайте типо добления в blacklist мембера например который тебе не приятен) суть не в этом)
Когда добовляешь мембера в блэк вылазит поле для ввода коментария ( ну мол потом когда заходишь на его страницу виден этот коментарий только тебе )
Суть вопроса в том, вообщем я заметил что в это поле отлично вставляется html код и он работает .)
Есть ли возможность что то придумать через html ...
Сорри за идиотский вопрос 200 лет уже не занимался ничем подобным)) все позабыл)
Суть такова, xss то. а толку от нее никакого. Т.к. Админ при заходе на страницу пользователя которого я добавил в блэк не видит коментарий который я написал при добавлении этого пользователя к себе в блэк. Собственно, xss не вариант, т.к. работать она будет только с моего аккаунта.
При добавлении кометария вида , php-инфо конешно же не выводится( но посмотрев исходный код страницы я обнаружил что код добавлися в таком виде
Подскажи что еще можно попробовать) Заранее очень благодарен...) |
|
|
|
03.11.2015, 10:23
|
|
Banned
Регистрация: 21.11.2007
Сообщений: 181
Провел на форуме:
1066435
Репутация:
1013
|
|
через CSRF сделать полноценную XSS
|
|
|
|
03.11.2015, 10:38
|
|
Постоянный
Регистрация: 22.11.2010
Сообщений: 545
Провел на форуме:
182660
Репутация:
324
|
|
Сообщение от GroM88
↑
Вообщем вернусь опять к вам за помощью по данному вопросу.
Суть такова, xss то. а толку от нее никакого. Т.к. Админ при заходе на страницу пользователя которого я добавил в блэк не видит коментарий который я написал при добавлении этого пользователя к себе в блэк. Собственно, xss не вариант, т.к. работать она будет только с моего аккаунта.
При добавлении кометария вида , php-инфо конешно же не выводится( но посмотрев исходный код страницы я обнаружил что код добавлися в таком виде
Подскажи что еще можно попробовать) Заранее очень благодарен...)
какой движок?
|
|
|
|
03.11.2015, 11:34
|
|
Познающий
Регистрация: 25.10.2007
Сообщений: 46
Провел на форуме:
318186
Репутация:
2
|
|
Сообщение от yarbabin
↑
через CSRF сделать полноценную XSS
Чучуть поподробнее пжлст) или хотя ткните носом в пруф где описано как это делается...
А то читать все..и практиковать уйдет куча времени... которого и так впринципе то нет(
Индивидуальный, самописанный))
Точнее сказал бы пару лет назад писали одни, а фичу с добавлением коментариев уже не так давно дописал другой)
Заранее всем благодарен за помощь.
|
|
|
|
03.11.2015, 14:16
|
|
Познавший АНТИЧАТ
Регистрация: 09.05.2015
Сообщений: 1,066
Провел на форуме:
238786
Репутация:
40
|
|
PHP код:
[COLOR="#000000"][COLOR="#0000BB"]http[/COLOR][COLOR="#007700"]:[/COLOR][COLOR="#FF8000"]//www.matrasmax.ru/konfigurator/?on_page=15&price_active=0&height_active=0&type=&size=131&producer_46=on&producers=&price_from=0&price_to=12000&materials=&stronger1=ТУТ &stronger2=&text=&action=apply_filter[/COLOR][/COLOR]
Инъекция? |
|
|
|
03.11.2015, 15:15
|
|
Познающий
Регистрация: 25.10.2007
Сообщений: 46
Провел на форуме:
318186
Репутация:
2
|
|
Сообщение от GroM88
↑
При добавлении кометария вида , php-инфо конешно же не выводится( но посмотрев исходный код страницы я обнаружил что код добавлися в таком виде
Ребята, так понимаю там стоит какой то чудо фильтр на
|
|
|
|
03.11.2015, 15:27
|
|
Постоянный
Регистрация: 24.06.2009
Сообщений: 542
Провел на форуме:
2101094
Репутация:
672
|
|
[QUOTE="GroM88"]
↑
Ребята, так понимаю там стоит какой то чудо фильтр на phpinfo();
но что то сомневаюсь что сработает в твоем случай. почти уверен что данные записываються в базу и оттуда выводяться |
|
|
|
|
 |
|
|
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
|
|
|
|
Комбинированный вид
