Чаты Не пойму в чем дело...

Discussion in 'Веб-уязвимости' started by HoBu4ok, 7 Oct 2003.

  1. HoBu4ok

    HoBu4ok New Member

    Joined:
    8 Nov 2002
    Messages:
    55
    Likes Received:
    0
    Reputations:
    0
    В общем в чате проходит "< >" Если пишешь типа : <font onclick=alert()>Text</font> Все работает, а если напишешь : <font onclick=alert('Привет друзья!&#39[​IMG]>Text</font> не фига не работает...может подскажите, как сделать так, чтобы работало...
    Заранее спасибо.
     
  2. Algol

    Algol New Member

    Joined:
    29 May 2002
    Messages:
    1,759
    Likes Received:
    4
    Reputations:
    0
    Скорее всего дело в кавычках, попробуй
    так <font onclick=alert("Привет друзья!")>Text</font> а еще лучше так: <font onclick=alert(this.innerText)>Привет друзья!</font>
     
  3. HoBu4ok

    HoBu4ok New Member

    Joined:
    8 Nov 2002
    Messages:
    55
    Likes Received:
    0
    Reputations:
    0
    Спасибо. font onclick=alert(this.innerText)>Привет друзья!</font> помогло, а ещё одно, в чате есть кнопка 100 последних сообщений, если её нажать то будет видно что я написал, и другие посетители чата могут пропалить и делать тоже самое, как можно скрыть мои месаги?
     
  4. HoBu4ok

    HoBu4ok New Member

    Joined:
    8 Nov 2002
    Messages:
    55
    Likes Received:
    0
    Reputations:
    0
    И если кто знает, почему все-таки не проходят " ' ` без них вроде ничего существенного и не сделать, а если можно то может посоветуете.....
    Заранее спасибо...
     
  5. next

    next New Member

    Joined:
    16 Aug 2003
    Messages:
    24
    Likes Received:
    1
    Reputations:
    0
    ещё возможно,что дело в пробеле ("Привет друзья!")
    попробуй так ("Привет_друзья!")
    и ещё,вместо <font onclick=alert()>Text</font> пиши <font onselectstart=alert()>Text</font>,это намного действенней,хотя лучше всего onmouseover,но это редко где проходит
    в чатах,где разрешены теги B или I работает также вот такая форма <b onselectstart=JScript:bgColor=Math.round(Math.random()*15728641+1048575).toString(16)>текст</b>,это будет менять фон в чате на произвольный у каждого, кто каким-либо образом выделит твоё сообщение, причём скрипт можешь писать любой
    а скрыть можешь просто,у Алгола про это есть,почитай
    удачи!
     
  6. Algol

    Algol New Member

    Joined:
    29 May 2002
    Messages:
    1,759
    Likes Received:
    4
    Reputations:
    0
    </span><table border="0" align="center" width="95%" cellpadding="3" cellspacing="1"><tr><td>Цитата (next @ октября 10 2003,16:57)</td></tr><tr><td id="QUOTE">ещё возможно,что дело в пробеле (&quot;Привет друзья!&quot;)
    попробуй так (&quot;Привет_друзья!&quot;)[/QUOTE]<span id='postcolor'>
    А, точно, вот так работает:
    &lt;font onclick='alert(&quot;Привет друзья!&quot;)'&gt;Text&lt;/font&gt;
    или так
    &lt;font onclick=`alert(&quot;Привет друзья!&quot;)`&gt;Text&lt;/font&gt;
     
  7. HoBu4ok

    HoBu4ok New Member

    Joined:
    8 Nov 2002
    Messages:
    55
    Likes Received:
    0
    Reputations:
    0
    2 Algol
    </span><table border="0" align="center" width="95%" cellpadding="3" cellspacing="1"><tr><td>Цитата </td></tr><tr><td id="QUOTE">А, точно, вот так работает:
    &lt;font onclick='alert(&quot;Привет друзья!&quot;)'&gt;Text&lt;/font&gt;
    или так
    &lt;font onclick=`alert(&quot;Привет друзья!&quot;)`&gt;Text&lt;/font&gt;[/QUOTE]<span id='postcolor'>
    Именно так не работает, ни первый, ни второй.
    2 Next
    </span><table border="0" align="center" width="95%" cellpadding="3" cellspacing="1"><tr><td>Цитата </td></tr><tr><td id="QUOTE"> &lt;b onselectstart=JScript:bgColor=Math.round(Math.random()*15728641+1048575).toString(16)&gt;текст&lt;/b&gt;[/QUOTE]<span id='postcolor'>
    А это забавно [​IMG]...Спасибо...

    2 All
    Если не сложно. может поясните начинающиму, почему всетаки не проходят &quot;&quot;, и можно ли без них вставить сниффер?
    Заранее спасибо
     
  8. Algol

    Algol New Member

    Joined:
    29 May 2002
    Messages:
    1,759
    Likes Received:
    4
    Reputations:
    0
    </span><table border="0" align="center" width="95%" cellpadding="3" cellspacing="1"><tr><td>Цитата (HoBu4ok @ октября 17 2003,12:08)</td></tr><tr><td id="QUOTE">2 Algol
    </span><table border="0" align="center" width="95%" cellpadding="3" cellspacing="1"><tr><td>Цитата </td></tr><tr><td id="QUOTE">А, точно, вот так работает:
    &lt;font onclick='alert(&quot;Привет друзья!&quot;)'&gt;Text&lt;/font&gt;
    или так
    &lt;font onclick=`alert(&quot;Привет друзья!&quot;)`&gt;Text&lt;/font&gt;[/QUOTE]<span id='postcolor'>
    Именно так не работает, ни первый, ни второй.[/QUOTE]<span id='postcolor'>
    Я имею ввиду, что это корректные обработчики HTML (т.е. они работают если их вставить в HTML стр).
    Они могут не работать, если чат отфильтровывает какие-то символы.
     
  9. Guest

    Guest Guest

    Reputations:
    0
    :cool:
    Слушайте как в БК креды взломать [​IMG]?[​IMG]
    Скажите кому не лень !!!!!!!!Плиззз!!!!!!!!! :;):
     
  10. HoBu4ok

    HoBu4ok New Member

    Joined:
    8 Nov 2002
    Messages:
    55
    Likes Received:
    0
    Reputations:
    0
    Вот ещё кое-что...
    Чат &nbsp;распознаёт пользователя, по IP адресу. Как сделать так, чтобы можно было выдать себя за определённого пользователя чтобы читать его приваты.К сожелению в статье на сайте, об этом умалчивается, Сказано только &quot;Этот метод имеет недостатки&quot;. Может всё-таки кто-нибудь скажет что надо делать?
    2 Algol
    Слушай ты случаем не из Питера?
     
  11. Algol

    Algol New Member

    Joined:
    29 May 2002
    Messages:
    1,759
    Likes Received:
    4
    Reputations:
    0
    </span><table border="0" align="center" width="95%" cellpadding="3" cellspacing="1"><tr><td>Цитата (HoBu4ok @ ноября 03 2003,00:45)</td></tr><tr><td id="QUOTE">2 Algol
    Слушай ты случаем не из Питера?[/QUOTE]<span id='postcolor'>
    Нет
     
  12. Algol

    Algol New Member

    Joined:
    29 May 2002
    Messages:
    1,759
    Likes Received:
    4
    Reputations:
    0
    </span><table border="0" align="center" width="95%" cellpadding="3" cellspacing="1"><tr><td>Цитата (HoBu4ok @ ноября 03 2003,00:45)</td></tr><tr><td id="QUOTE">Сказано только &quot;Этот метод имеет недостатки&quot;.[/QUOTE]<span id='postcolor'>
    Если ты имеешь ввиду мою статью, то там это сказано в том смысле, что чату трудно различать юзеров, поскольку на одном IP могут сидеть несколько человек.
    С точки же зрения взлома, такая система вполне надежна ))
     
  13. Guest

    Guest Guest

    Reputations:
    0
    Слушай, а не скажешь где можно почитать, или в кратце напиши, чё хоть делать надо?...
    Успехов и спасибо.
     
  14. HoBu4ok

    HoBu4ok New Member

    Joined:
    8 Nov 2002
    Messages:
    55
    Likes Received:
    0
    Reputations:
    0
    Забыл войти по ником, выше написанное это моё творение.
     
  15. Guest

    Guest Guest

    Reputations:
    0
    не могу войти в чат о любви на флирт.Сист. админ. поставил ограничение. Что сделать? Как взломать?
     
  16. Algol

    Algol New Member

    Joined:
    29 May 2002
    Messages:
    1,759
    Likes Received:
    4
    Reputations:
    0
    </span><table border="0" align="center" width="95%" cellpadding="3" cellspacing="1"><tr><td>Цитата (Guest @ ноября 05 2003,11:36)</td></tr><tr><td id="QUOTE">не могу войти в чат о любви на флирт.Сист. админ. поставил ограничение. Что сделать? Как взломать?[/QUOTE]<span id='postcolor'>
    1)Почистить куки (cookies)
    2)Зайти через анонимный прокси-сервер.

    Если не поможет, то поменять еще и ник.
     
  17. HoBu4ok

    HoBu4ok New Member

    Joined:
    8 Nov 2002
    Messages:
    55
    Likes Received:
    0
    Reputations:
    0
    Зы...Это мессагу можно чикнуть...
     
  18. HoBu4ok

    HoBu4ok New Member

    Joined:
    8 Nov 2002
    Messages:
    55
    Likes Received:
    0
    Reputations:
    0
    Ну так что ни кто не в курсе как перехватывать приваты через IP ? А где хоть почитать то можно елки палки...Если не хотите на форуме писать стучите в 3882559
    Заранее спасибо....
     
  19. Algol

    Algol New Member

    Joined:
    29 May 2002
    Messages:
    1,759
    Likes Received:
    4
    Reputations:
    0
    </span><table border="0" align="center" width="95%" cellpadding="3" cellspacing="1"><tr><td>Цитата (HoBu4ok @ ноября 11 2003,21:10)</td></tr><tr><td id="QUOTE">Ну так что ни кто не в курсе как перехватывать приваты через IP ?[/QUOTE]<span id='postcolor'>
    Да кто тебе сказал что это возможно ??
    Неужели не понятно, что если система идентифицирует юзеров по IP, то она и будет слать приваты на этот самый IP.
    А поддлелать IP в HTTP практически невозможно.
     
  20. HoBu4ok

    HoBu4ok New Member

    Joined:
    8 Nov 2002
    Messages:
    55
    Likes Received:
    0
    Reputations:
    0
    А может существует скрипт который может тебе посылать страничку юзверя? Ил что-то типа того?