http://poligon-chat.net.ru/? - исходная ссыль. Короче,помутил там немного(заняло это минуты 2,если не меньше) и вот что обнаружил: если добавить к исходной ссылке чата это - "=><script>alert(/xss/)</script> = http://poligon-chat.net.ru/?"=><script>alert(/xss/)</script> ,то открыв чат с таким тегом и зайдя в "команды" или "чатовцы" вылезает алерт /xss/ . Кстати,внутри раздела "команды" если добавить тег,приведённый выше,к написанному в адресной строке,то зайдя,скажем, в "Инфа о зареганных пользователях" - вылезет такой же алерт /xss/ . Люди,это глюк или это в натуре открытая xss в чате бородина? P.S. пробовал то же самое в нескольких других чатах на этом же движке - не было никакого алерта.
Жалко минусы не могу ставить Ну и вопросы у тебя, походи по сайту античата, залезь в гугл, почитай везде про xss, а потом спрашивай. -------------- По словам автора, это xss, но что то у меня она не проходит... Даже если она там есть, то её изпользование скорей всего невозможно.
даж не знаю.Я копался сегодня уже несколько раз на полигоне и пока толком ничё не смог сделать,но всё-таки там что-то есть,мне кажется.Именно на полигоне алерт светица...
http://forum.antichat.ru/thread12610.html - читай. Если не разберёшься, то я уже вырвал хэши админа "СолныФко", сейчас расшифровываю, но пассы просто так тебе не отдам.
Там версия форума 2.0.17. Действовать надо,соответственно,как сказано в той теме про phpBB <= 2.0.17 или я чё не так сказал? А эксплоиты я не понял,чё это такое... и какая там команда нужна тоже хз,этих команд много...
Такое ощущение складывается, что тебе уже просто нечего написать. Читай внимательно тему которую создал!! ================================ Началась тема с этого. Ты получил больше чем хотел. Вопрос исчерпан, обсуждать нечего. [closed]
