[Intro] Спустя 10 минут после регистрации на odnoklassniki.ru, была найдена активная xss... Собственно регистрация для этого и была произведена Что с неё взять? -Конечно cookies (Не печенье). Такой баг на огромнейшей соц.сети может вызвать п.зд.ц К чему я все...начнем... [Vulnerability] Авторизуемся на сайте http://odnoklassniki.ru, если нет акка, пройдите 2х минутную авторизацию. Далее проходим на свою личную страницу -> Основное -> Редактировать личные данные -> (*.odnoklassniki.ru/dk?st.cmd=userSelfProfileEdit) Ваше имя - <script>alert(/1/)</script> Сохранить. Переходим в "Форум" (*.odnoklassniki.ru/dk?st.cmd=userForum) -> Добавить -> Уже видна активка, но это не то Пишем что-нибудь в сообщении -> Добавить Переходим в свой форум -> Клацаем по ссылке "Написать сообщение" (далее [1]) -> Ну и вот она активная xss //Везде на вашей странице где есть сылка "Написать сообщение" + кликнув по ней будет активная xss //будь то "Друзья" , "Друзья друзей", Сообщества" ...везде [Application] Жертве необходимо быть авторизованным на сайте и всего перейти по вашей ссылке [1] где и будет произведен ваш js код... Желаю удачи [Video] ROFL, http://www.x3k.name/odnoklassniki.ru[active.xss]-Isis.rar [Copyright] © by Isis 13.03.2008, xeka.ru Greetz to: gemaglabin, blackybr, +toxa+, ettee, b00zy_c0d3r, NOFEAR, Rebz, Barsik, c411k, Elekt, ettee, .fuf, lamarez, cash, limpompo, madnet, Great, podkashey, KEZ, GreenBear, w1z, m0nzt3r, PEPSICOLA , Puff, Proteus and other....
тепрь все зависит от времени, кто быстрее...пока не прикрыли. З.Ы допустим есть чел с 600 друзьями, друзья друзей более 3000. возможноли туда впихнуть редирект или банер рекламный какой на сайт?
мда )))) ты еще сайт открой и форум с платной булкой поставь, чтобы посвятить крутую хсс ))))))))))))))))))))))))))))) достаточно в знакомый до боли раздел пихнуть -)
isis , а ты не заметил еще одну? когда человек будет писать в личку тому у кого стоит скрип вместо имени, то тоже он исполнится.
Если не сложно,дайте ссылки как правильно использовать активные Xss. Что-нибуть приближенное к данной статье.. . Заранее спасибо.
2z0diak может еще статью написать "использование поисковиков для маленьких или как найти нужную инфу" ?
Начни отсюда: http://old.antichat.ru/crackchat/HTML/ To [aywo] - вместо набора слов мог бы и помочь человеку.
Да, увы очень жаль, в строке ввода имени вмещается всего 16 символов. А вдруг у меня имя двадцать символов??))
Ну, если в поле ввода не вмещается, можно попробовать подредактировать сорсы страницы и изменить параметр maxlength! Если конечно дальше скриптом не обрезается!
