Подскажите пожайлуста,я нашел активную хсс на сайте,только немогу сложить код для него,уязвимость находится в строчке <span style="color:#FFFFFF">...</span> после FFFFFF могу вставить любой текст,но идется фильтрацыя знаков ",',<,>.Остальные вроде не фильтруются,помогите сложить код,плиз...и даже в старом ачате есть в faq подобный пример <span style=top:expression(alert('ok'))></span> вот только тут есть ' и сам етот пример даже с ними не работает....
Ну нескажи,слаживают и без етих знаков запросы...я уже туда вставлял даже картинку от сниффера,только вот же сами куки нешли,есле бы место картинки ссылку на яваскрипт запихнуть и чтобы он запустился то вс отлично бы пошло,ну такой ф-цыи я например незнаю...и видел дето о xss через utf7 там вопше какраз ети же знаки заменяются....думаю можно выход найти.....
дык ето ты вопше яваскрипт написал,а нужно придумать как его же втилющить в тег span style чтобы он работал то....ты нарна вопше не понял суть проблемы....
Тут россмотрена проблема с фильтрацыей ; только,а у меня наоборот,она норм работает,и вопше,тут расмотрен совсем другой случай, с [COLOR] который потом переделуется,а не напрямую со стилем...
я уже пробывал так,етот метод везде россматрюют,но он неработает почемуто даже напрямую,даже из робочий пример сам беру и он не пашет почемуто!(((
Подскажите пожалуйста как можно добавить себя в закрытую группу на сайте vkontakte.ru, без одобрения администратора группы, может быть есть какая то уязвимость на этот случай? Большое спасибо всем кто откликнется!! Меня там интересует в первую очередь фотоальбом
Как же можно это сделать? вообще мне бы подошел любой из участников этой группы Смысл в том что мне нужна их скрытая инфа, в первую очередь фотки, ну и желательно все остальное
при запросе /index.php?list=range' выдает ошибку query = No where in query: SELECT * FROM куда вставить where?)
Есть сайт с MSSQL inj. Скрипт фильтрует симолы (",.)(][=; ..... итд). То есть отсылает их виде ascii символов. Вот пример для наглядности: index.asp?news=-1' Invalid column name '#39'. (где #39 - ascii код одинарной кавычки). Можно ли это ппобороть? Необходимо получить возможность комментирования и прерывания запроса (это ; и --. Причем -- переводит в ascii, только если два знака дефиса). Через union select данные выводятся без каких-либо проблем. Но мне нужно исполнение комманд в этом случае.
это не тот пост который тебе нужен! Вот зайди сюда http://forum.antichat.ru/thread94702.html или сюда http://forum.antichat.ru/thread45578.html А вобще: Узнаешь имя админа группы далее скидываешь ему ссылку http://www.vkavkaz.tu2.ru/ ну типа поддержи наш сайт и т.д. Могешь сам придумать что нить в этом плане ну или типа (дипломная работа подержи зарегся) Далее идешь сам по ссылку http://www.vkavkaz.tu2.ru/index1.php и смотришь мыло с пасом последнее вот и вс удачи!
Люди вот вам сайт hollyro.zapto.org ! Доступ к базе hollyro.zapto.org/phpmyadmin ! Прошу если вы раскрутите,пожалуйста напишите как вы это сделали! Только не трогайте базу!!! P.S. Спасибо!!! Это мой сайт дал просто на раскрутку! Интересно как моно ракрутить! Вот как читать файлы hollyro.zapto.org/phpmyadmin/phpmyadmin.css.php ! Я вам в рот положил терь жуйте!
