Форум SAPE.RU

Форум SAPE.RU (http://forum.sape.ru/index.php)
-   Вопросы о работе форума (http://forum.sape.ru/forumdisplay.php?f=58)
-   -   xss (http://forum.sape.ru/showthread.php?t=69440)

poiuty 25.05.2011 03:25

xss
 
Вложений: 1
На одном из своих форумов - заметил следующее:
Тег img - вписываем:
*
Далее - на странице вылезает авторизация.
На сапа форуме, тоже.

Сейчас лень смотреть и фиксить почему это происходит.(наглядно в этой теме)
*

Пруфскрин:
Вложение 4990

Красавчег 25.05.2011 04:29

Вот нахера всякий триппер на форум тянуть?

Цитата:

Сообщение от poiuty (Сообщение 1083293)
xss

Это вообще не картинка, а скрипт.

Цитата:

Сообщение от poiuty (Сообщение 1083293)
Сейчас лень смотреть и фиксить почему это происходит

Ему ещё и лень.. сyка, нет слов.

techcompany 25.05.2011 09:13

Млин ваще пипец. Нафига? Ваще уже опупели - на форум всякое гамно начали внедрять.

poiuty 25.05.2011 12:34

Цитата:

Сообщение от Красавчег (Сообщение 1083298)
Ему ещё и лень.. сyка, нет слов.

Ты че тупишь?Тема для администрации а не для тебя.
Это и есть скрипт.Если ты не понимаешь разницу между xss и jpg - это твои проблемы.

И вообще я поделиться хотел уязвимостью, а не для выпендрежа или чтобы кто-то использовал этот баг.А для того, чтобы все знали о этой баге.

Ему ещё и лень.. сyка, нет слов.
И неф тут дискуссии и заумные посты писать.Если ты не понимаешь в чем суть баги то иди в курилку и пиши:
сyка, нет слов.

Добавлено через 1 минуту
Ank - багу пофиксили?Не лень - поделитесь.
Я думал как-то проверять картинку, но в 3.40 - убивать несколько часов - до утра не было никакого желания.Если фикс прошу поделится или намекнуть.

Добавлено через 6 минут
http://habreffect.ru/files/0f9/d7d36e4d1/12312.JPG
Какие соешники - троли тут сидят.
Я привел уязвимость - в ответ минусуют и пургу несут.

Добавлено через 2 минуты
Я не пытался никого хакнуть, я просто указал на уязвимость, для того чтобы ее поправили на сапа форуме и возможно выложили фикс в этой теме.

Красавчег 25.05.2011 14:16

Цитата:

Сообщение от poiuty (Сообщение 1083462)
Это и есть скрипт.Если ты не понимаешь разницу между xss и jpg - это твои проблемы.

Я как раз таки понимаю разницу, о чём и написал.

Цитата:

Сообщение от poiuty (Сообщение 1083462)
И вообще я поделиться хотел уязвимостью, а не для выпендрежа

Заразись сифилисом и приди домой, с женой поделись. Не для выпендрёжа конечно, а просто:
Цитата:

Сообщение от poiuty (Сообщение 1083462)
для того, чтобы все знали о этой баге.

ага..

Цитата:

Сообщение от poiuty (Сообщение 1083462)
Ank - багу пофиксили?

Чо, не видишь? Знаешь как пофиксили? Просто удалили из твоего сообщения ту хрень, которую ты засунул.

Цитата:

Сообщение от poiuty (Сообщение 1083462)
Не лень - поделитесь.

С тобой модератор поделился красным погоном за нарушение весом в 7 баллов.


Цитата:

Сообщение от poiuty (Сообщение 1083462)
Я привел уязвимость - в ответ минусуют и пургу несут.

Т.е. комментарий модератора для вас:
Цитата:

Сообщение от Ank (Сообщение 1083293)
Последний раз редактировалось Ank; Сегодня в 10:02. Причина: Совсем всякий стыд потерял. Может больше не надо на сапофорум то ходить?

это тоже пурга?


Цитата:

Сообщение от poiuty (Сообщение 1083462)
Я не пытался никого хакнуть, я просто указал на уязвимость

В следующий раз включайте мозг, дорогой товарищ.

Последний Герой 25.05.2011 20:24

это не баг. сервер, откуда картинка грузилась, выдавал код 301 со всем вытекающим. читать надо, кто авторизацию запрашивает, а не вводить логин с паролем куда попало.

a112 25.05.2011 21:38

"тема" стара как мир и уже никто даааавно не ведётся:)
Хотя в своё время на козе с пяток сайтов "угнал" таким макаром:)
Хотя гораздо больше угнал вводя вместо пароля дату рождения Одмина:)

DontFo 27.05.2011 09:11

Скрипт под названием - Смайл авториации.
В свое время, приходилось отключить теги [ Img ] в чате.
P.S Желательно удалить тему - дети игратсо будут)))

Последний Герой 27.05.2011 11:25

DontFo, пусть повисит. народ внимательнее должен быть.


Часовой пояс GMT +3, время: 15:32.

Работает на vBulletin® версия 3.8.7.
Copyright ©2000 - 2020, Jelsoft Enterprises Ltd.
Перевод: zCarot
SAPE.RU — система купли-продажи ссылок с главных и внутренних страниц сайтов.