Что мешает проверить - залогинен чел или нет? И если да, то всё время давать страницу/форму с логином.
Melfis, ок. во во снова процитирую если у вас есть xss на странице то ваш код может делать все то что может делать пользователь зачем ждать и надеяться на везение чтобы получить логин/пароль а если xss нет тогда и говорить не о чем
Дык а что ты ещё то из этого извлечёшь? В итоге то нужен пароль и логин админа. А ввести его может только человек(админ в частности). Вот всем так и нужны логины и пароли. Можно конечно сделать, чтобы они на автомате спамили темы. Но это уже другое )
неверно. в итоге нужно то что можно сделать только с привелегиями админа например залить шелл через админку а аккаунт самого админа никакого интереса не представляет апологеты схемы с логином паролем я так понимаю видят так: 0. админ зашел на страницу c xss 1. внезапно показываем форму авторизации админу рискуя спалиться 2. получаем логин пароль если повезет 3. ручками авторизуемся под админом при этом мусоря в логах форума показываясь в списке присутствующих на форуме и проч. 4. заливаем шелл 5. срочно чистим логи форума где намусорили 6. открываем шелл 7. чистим что нельзя было почистить из админки в пункте 5. а можно сделать так: 0. админ зашел на страницу c xss 1. заливаем шелл с помощью js 6. открываем шелл 7. чистим . нет, не только человек. и введение пароля не обладает какои то ценностью
кажись я понел к чему он клонит, мол типо если пользователь авторизован и есть xss на странице то я могу лазить по админ панели через него) или как вариант можно попробывать сделать через iframe) однако давольна таки проблематичная темка) ведь все что я не открыл через js будет у него в бразуере отображатся) а это палевНО) с js не сильно знаком) но о таком начитался)) и вопрос как работает такая система) а если пользователь не админ) там допустим форум со 100+ пользователями) можно типо xss вживить не подсредствено в форму где он авторизуется в админ панель однако как так вживить) там нету полей для ввода кроме логин, пароль) которые давольна таки хорошо профильтрованы). PHP: 0. админ зашел на страницу c xss 1. внезапно показываем форму авторизации админу рискуя спалиться там админы не блондинки так что не прокатит)) ваще таких кадров надо бы еще поискатЬ))
PATCH, обсуждение конечно интересное но чтобы достичь какого то результата разъясните три вещи: 1. чего вы хотите добиться в итоге, какова конечная цель 2. что уже есть сеичас 3. что не получается
1. доступ к админ панели а если точнее к заливки шаблона для ipb (нашел косяк как залить шелл) 2.думал для без палевного получения доступ в админ панель взять кукисы HTML: [URL=http://][IMG]http://torrents.telecom.by/imagehost/thumbs/917696199d3d98f33396906515443b85.jpg[/IMG][/URL] в частности через типо такой код ., решил проверить как сработают кукисы на локальном ipb и как оказалось там нет ни логина не пароля. (тег URL заглатывает все символы главное что бы в начале было http:// думаю возможно в таком bb code как URL вставить произвольный xss в частности экранизации http://, и вставки своего js кода со взятием кукисов и отправки на страничку с полным разрешением картинки. т.е мы получаем без паливно кукисы. однако такой план провалился) сча вот думаю над нашим обсуждением с API и AJAX просто не знаком)
Ты не так меня понял. Я имел в виду, что изначально пароль знает только человек, отправить данные то на скрипт для авторизации может что угодно ). Если он(человек)его не вводил, то и не получится ничего. По схеме, которую ты описал, надо кучу нюансов знать. Это хорошо, если известный движок и ты знаешь на 100%, что есть уязвимый скрипт. Д и то, на 100% знать не будешь знать точно. Мало ли, взял и сам залатал дыру, зато где-то в другом месте накосячил. Ну собсна тут уже бесполезно спорить о преимуществах автоматизированного взлома и ручного ) Свои недостатки и плюсы.
ага и вот вам еще 1 нюанс почему надо иметь логин и пароль. в IPB есть 2 вида авторизации , авторизоваца как пользователь но с привелегиями админа на форуме и еще + авторизоваца как администратор для захода в админ панель. Почему надо знать логин и пароль, потому что он одинаковый что там , что там) а если автоматизировать взлом то не факт что он вообще зайдет в админ панель мб он просто авторизовался как обычный пользователь но с привелегиями админа. а еще тупой вопрос если человек перешел по ссылки на мой сайтик , никаким макаром нельзя взять кукисы с прошлой страницы на которой был человек? читал книгу про кукисы такое можно было еще когда был ie4) потом ограничели доступ и куки можно просмотреть тока с сайта на котором использовался данный js
