xss
Вложений: 1
На одном из своих форумов - заметил следующее:
Тег img - вписываем: * Далее - на странице вылезает авторизация. На сапа форуме, тоже. Сейчас лень смотреть и фиксить почему это происходит.(наглядно в этой теме) * Пруфскрин: Вложение 4990 |
Вот нахера всякий триппер на форум тянуть?
Цитата:
Цитата:
|
Млин ваще пипец. Нафига? Ваще уже опупели - на форум всякое гамно начали внедрять.
|
Цитата:
Это и есть скрипт.Если ты не понимаешь разницу между xss и jpg - это твои проблемы. И вообще я поделиться хотел уязвимостью, а не для выпендрежа или чтобы кто-то использовал этот баг.А для того, чтобы все знали о этой баге. Ему ещё и лень.. сyка, нет слов. И неф тут дискуссии и заумные посты писать.Если ты не понимаешь в чем суть баги то иди в курилку и пиши: сyка, нет слов. Добавлено через 1 минуту Ank - багу пофиксили?Не лень - поделитесь. Я думал как-то проверять картинку, но в 3.40 - убивать несколько часов - до утра не было никакого желания.Если фикс прошу поделится или намекнуть. Добавлено через 6 минут http://habreffect.ru/files/0f9/d7d36e4d1/12312.JPG Какие соешники - троли тут сидят. Я привел уязвимость - в ответ минусуют и пургу несут. Добавлено через 2 минуты Я не пытался никого хакнуть, я просто указал на уязвимость, для того чтобы ее поправили на сапа форуме и возможно выложили фикс в этой теме. |
Цитата:
Цитата:
Цитата:
Цитата:
Цитата:
Цитата:
Цитата:
Цитата:
|
это не баг. сервер, откуда картинка грузилась, выдавал код 301 со всем вытекающим. читать надо, кто авторизацию запрашивает, а не вводить логин с паролем куда попало.
|
"тема" стара как мир и уже никто даааавно не ведётся:)
Хотя в своё время на козе с пяток сайтов "угнал" таким макаром:) Хотя гораздо больше угнал вводя вместо пароля дату рождения Одмина:) |
Скрипт под названием - Смайл авториации.
В свое время, приходилось отключить теги [ Img ] в чате. P.S Желательно удалить тему - дети игратсо будут))) |
DontFo, пусть повисит. народ внимательнее должен быть.
|
Часовой пояс GMT +3, время: 09:33. |
Работает на vBulletin® версия 3.8.7.
Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.
Перевод: zCarot
SAPE.RU — система купли-продажи ссылок с главных и внутренних страниц сайтов.