Форумы Самый ЛоЛьский Баг (XSS in Art-Soft Гостевая книга v 2.0.1)

Discussion in 'Уязвимости CMS/форумов' started by _kREveDKo_, 14 Aug 2006.

  1. _kREveDKo_

    _kREveDKo_ _kREveDKo_

    Joined:
    4 Dec 2005
    Messages:
    778
    Likes Received:
    620
    Reputations:
    1,040
    Я нашёл этот баг самым ЛОЛьским во всей моей истории поиска багов =).
    XSS в "Art-Soft Гостевая книга v 2.0.1", но не просто xss, а просто умора =)


    Есть там всякие бб-теги, которые нормально фильтруются, но есть такая вот маза: в сообщении
    напиши вот такую фишку:
    Code:
    [script]alert('Мда')[/script] 
    
    И не спеши кричать на меня, что такого bb-тега как [script] нет! Спокойно пости
    мессагу и ты будешь приятно удивлён =). Тупой скрипт переименует [ и ] в < и > соответственно
     
    3 people like this.
  2. Zitt

    Zitt Elder - Старейшина

    Joined:
    7 May 2006
    Messages:
    736
    Likes Received:
    268
    Reputations:
    59
    ыыы ))
    Хотел бы я посмотреть на токо кто ету гостевуху написал ))
     
    1 person likes this.
  3. em00s7

    em00s7 Elder - Старейшина

    Joined:
    2 May 2006
    Messages:
    169
    Likes Received:
    37
    Reputations:
    -10
    хм.... гениально)))
     
  4. tRu

    tRu New Member

    Joined:
    25 May 2006
    Messages:
    17
    Likes Received:
    4
    Reputations:
    0
    Судя по названию, кстати очень нелепому, а точнее версии, в этой Гостевой книге уже не одну ошибку исправляли.
     
  5. Lesha Lomalkin

    Lesha Lomalkin New Member

    Joined:
    16 Dec 2005
    Messages:
    9
    Likes Received:
    1
    Reputations:
    0
    А авторизация админа в ней, судя по всему не по кукисам происходит? А то можно было бы заюзать :(
    Кстати для тех кто на аффтара хотел посмотреть: http://art-soft.ru/