ANTICHAT.XYZ    VIDEO.ANTICHAT.XYZ    НОВЫЕ СООБЩЕНИЯ    ФОРУМ  
Баннер 1   Баннер 2
Antichat снова доступен.
Форум Antichat (Античат) возвращается и снова открыт для пользователей. Здесь обсуждаются безопасность, программирование, технологии и многое другое. Сообщество снова собирается вместе.
Новый адрес: forum.antichat.xyz
Вернуться   Форум АНТИЧАТ > Безопасность и Уязвимости > Уязвимости
Перезагрузить страницу XSS в paFile 3.1
   
Ответ
 
Опции темы Поиск в этой теме Опции просмотра

XSS в paFile 3.1
  #1  
Старый 12.12.2004, 19:40
Аватар для TRОJAN
TRОJAN
Новичок
Регистрация: 12.12.2004
Сообщений: 6
Провел на форуме:
5617

Репутация: 0
Talking XSS в paFile 3.1
В paFileDB 3.1 имеется такая XSS-уязвимость:
pafiledb.php?action=file&id=1?%22><script>alert(do cument.cookie)</script>

Подскажите неимущему как совершить это самое

А то чего-то не того.....
Буду презнателен дельному совету или ссылкой)))
 
Ответить с цитированием

  #2  
Старый 12.12.2004, 21:06
Аватар для virgoz
virgoz
Участник форума
Регистрация: 16.09.2004
Сообщений: 193
Провел на форуме:
621131

Репутация: 47
Отправить сообщение для virgoz с помощью ICQ
По умолчанию
а че это такое "paFileDB 3.1"?
 
Ответить с цитированием

  #3  
Старый 12.12.2004, 22:21
Аватар для TRОJAN
TRОJAN
Новичок
Регистрация: 12.12.2004
Сообщений: 6
Провел на форуме:
5617

Репутация: 0
По умолчанию
Virgoz это файл-менеджер. Вообщем он не дает увидеть прямые ссылки на файлы.
 
Ответить с цитированием

  #4  
Старый 13.12.2004, 13:29
Аватар для Algol
Algol
Регистрация: 29.05.2002
Сообщений: 1,793
Провел на форуме:
2050916

Репутация: 0


По умолчанию
Эта уязвимость позволяет получить куки пользователей.
 
Ответить с цитированием

  #5  
Старый 13.12.2004, 14:07
Аватар для TRОJAN
TRОJAN
Новичок
Регистрация: 12.12.2004
Сообщений: 6
Провел на форуме:
5617

Репутация: 0
По умолчанию
Пользователей нету, есть один админ...
Который бывает там очень редко.
А регистрироваться там нельзя.

Значит это не реально - утащить его куку?
 
Ответить с цитированием

  #6  
Старый 15.12.2004, 20:55
Аватар для Algol
Algol
Регистрация: 29.05.2002
Сообщений: 1,793
Провел на форуме:
2050916

Репутация: 0


По умолчанию
Как же можно утащить его куку если его там не бывает ??? Кука ведь хранится на его машине....
Без админа можно взломать только с помощью Sql или Php -инъекции....
Xss тут помочь не может
 
Ответить с цитированием

  #7  
Старый 15.12.2004, 23:02
Аватар для TRОJAN
TRОJAN
Новичок
Регистрация: 12.12.2004
Сообщений: 6
Провел на форуме:
5617

Репутация: 0
По умолчанию
хМ... понятно. Спасибо.
И вот ещё маленький вопросик:
Есть SQL-инжекция,
http://target/pafiledb/pafiledb.php?action=rate&id=1[SQL-injection]&rate=dorate&rating=10

Но мускул стоит 3.2ххх чего то там))) вобщем команды UNION нету,
Значит ничего не выйдет? )))
 
Ответить с цитированием
Ответ



« Предыдущая тема | Следующая тема »


Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
 


Быстрый переход




ANTICHAT.XYZ