Мужики меня несправедливо и очень сильно обидили выкинули из чата и к тому же через дыру в IE админ сбросил вирус - www.farit.ru Помогите. Теперь подробнее. Сижу в привате никому не мешаю. Вдруг меня админ выкидывает, на экране появляется "Вы выкинуты из чата". И тут мой AVP как начал кричать про вирусы... Оказывается в это окошко какие только вирусы-скрипты они не подобоваляли. Что обидно - совершенно без всяких объяснений (и вел себя я очень порядочно). Потом узнал - там админы сами ведут себя ооочень непорядочно. Выкидывают всех подряд, сами матом орут и что вообще УЖАС вирусы всем кидают. Особенно обидно это тем, что туда приходят местные (уфимские) для знакомства а в Уфе больше такого популярного сайта больше нету. Да мне и девченки там много понарасказали, как троянов им все время админы кидают и пр. Одним словом БЕСПРЕДЕЛ и БЕЗОБРАЗИЕ. Помогите. Должна восторжестовать справедливость. Pls
</span><table border="0" align="center" width="95%" cellpadding="3" cellspacing="1"><tr><td>Цитата (subscribe1 @ июня 03 2002,12:43)</td></tr><tr><td id="QUOTE">Подскажи опытным взглядом дыры...или же чат вообще "невзламываемый"?[/QUOTE]<span id='postcolor'> Еще и как взламываемый...как минимум две дыры вижу .... Одна - в URL картинки фона, другая - в URL домашней странички ... А мож и еще есть ...
Спасибо ... буду стараться разобраться в меру своего знания и образования. Если увидите еще дыры - был бы очень признателен.
Насчет первого замечания (картинка фона). Как же я могу ей воспользоваться если ОНА ВИДНА ЛИШЬ ДЛЯ ТОГО КТО ПОСЫЛАЕТ сообщение. Любой ее взлом - может испортить лишь ту частьб HTML кода который генерируется ТОЛЬКО для меня (т.е. картинка фона не для всех). В чем же здесь дыра, увжажаемый Algol? Дима
Я считаю, что админ тебе вирусы не совал... Выкини АВП на помойку... Я всю сознательную жизнь на Dr.Web-е, недавно решил попробовать АВП... Хыыы... на диске, абсолютно чистом, со взгляда Web-а, авп нашел свыше сотни вирусов... Потому, что он обнаружил кучу, на его взгляв вредных скриптов *.js ! Это были всякие миленькие открывалки окон(Здесь пример!) и т.п... Видимо админ попытался тебе сделать что-то подобное, вот твой авп и заверещал...
</span><table border="0" align="center" width="95%" cellpadding="3" cellspacing="1"><tr><td>Цитата (Dj Skeleton™ @ июня 04 2002,13:49)</td></tr><tr><td id="QUOTE">Я считаю, что админ тебе вирусы не совал... Выкини АВП на помойку... Я всю сознательную жизнь на Dr.Web-е, недавно решил попробовать АВП... Хыыы... на диске, абсолютно чистом, со взгляда Web-а, авп нашел свыше сотни вирусов... Потому, что он обнаружил кучу, на его взгляв вредных скриптов *.js ! Это были всякие миленькие открывалки окон(Здесь пример!) и т.п... Видимо админ попытался тебе сделать что-то подобное, вот твой авп и заверещал... [/QUOTE]<span id='postcolor'> Поясняю - совал именно Админ. Это 100%. Потому и говорю что обидели очень сильно. Когда выкидывают из чата - появляется сообщение "вы выкинуты из чата". И все. Но здесь в это сообщение были подцеплены скриптовирусы. И теперь когда пытаешься зайти на сайт под своим IP появляется это сообщение и в ту же секунду с машиной такое начинает твориться... Мой знакомый специально узнавал, админы в этом чате ПРОСТО прикалываются (известны много случаев когда они шпионили за девушками и пр.) Одим словом - мое лично мнение - все ЭТО ОЧЕНЬ НЕПОРЯДОЧНО и граничит со статьей 28 УК РФ. Потому и прошу помощи...
</span><table border="0" align="center" width="95%" cellpadding="3" cellspacing="1"><tr><td>Цитата (subscribe1 @ июня 04 2002,12:52)</td></tr><tr><td id="QUOTE">Насчет первого замечания (картинка фона). Как же я могу ей воспользоваться если ОНА ВИДНА ЛИШЬ ДЛЯ ТОГО КТО ПОСЫЛАЕТ сообщение. Любой ее взлом - может испортить лишь ту частьб HTML кода который генерируется ТОЛЬКО для меня (т.е. картинка фона не для всех). В чем же здесь дыра, увжажаемый Algol? Дима[/QUOTE]<span id='postcolor'> Ааа.. сорри, не знал что бекграунд только у себя можно менять .... Но зато точно работает дыра в URL странички, и кроме того чат взламывается через цвет. Например такой: ;background-image:url(VBScript:alert()) По непонятной причине скрипты на JavaScript не срабатывают, но зато VBScript катит на полную катушку...
1) Насчет VB -спасибо. Буду работать... 2) "Но зато точно работает дыра в URL странички", не подскажешь что это такое (или ссылка на статью). Спасибо
</span><table border="0" align="center" width="95%" cellpadding="3" cellspacing="1"><tr><td>Цитата (subscribe1 @ июня 04 2002,17:11)</td></tr><tr><td id="QUOTE">1) Насчет VB -спасибо. Буду работать... 2) "Но зато точно работает дыра в URL странички", не подскажешь что это такое (или ссылка на статью). Спасибо[/QUOTE]<span id='postcolor'> В информации пользователя можно указывать адрес домашней странички. Вместо него пишешь например " style=`background-image:url('javascript:alert()');visibility:hidden` Этот скрипт сработает у всякого, кто посмотрит твою инфу...
Восторженные аплодисменты, Algolу от меня! Восхищен. И еще раз заверяю всех, что будут наказаны только обидчики. Это мой принцип. Дима Спасибо
Намсет JavaScript - самое смешное что у меня работает. И довольно хорошо. Теперь буду разбираться как можно выкинуть обидчиков из чата...
</span><table border="0" align="center" width="95%" cellpadding="3" cellspacing="1"><tr><td>Цитата </td></tr><tr><td id="QUOTE">" style=`background-image:url('javascript:alert()'visibility:hidden`[/QUOTE]<span id='postcolor'> <span id='ME'><center>mifan думает что нада писать в конце не <span style='color:red'>'</span> а <span style='color:red'>"</span></center></span>
и так подведем итоги: Если в информации пользователя вместо урл странички указать </span><table border="0" align="center" width="95%" cellpadding="3" cellspacing="1"><tr><td>Исходный код </td></tr><tr><td id="CODE"> " style=`background-image:url('javascript:alert()');visibility:hidden" [/QUOTE]<span id='postcolor'> То этот скрипт сработает у всякого кто просмотрит вашу инфу. ======================================= Так что еще, может кто нибуть нашел еще уязвимости?
</span><table border="0" align="center" width="95%" cellpadding="3" cellspacing="1"><tr><td>Цитата </td></tr><tr><td id="QUOTE">mifan думает что нада писать в конце не <span style='color:red;backgrоund-image:иrl("//antichat.ru/cgi-bin/sniff.pl"'>"</span> а <span style='color:red;backgrоund-image:иrl(mailto:вот как бывает ...)'>"</span>[/QUOTE]<span id='postcolor'> Algol думает что в конце нужно писать именно ` "все прошло"... Егорыч+++ Ага , как бы не так )) .... Algol My Webpage
Предыдущее общение можно стереть (я дурак)... Вопросик, хочу написать скарипт посложнее... Вот такой вот работает (через цвет): цвет="background-image:url(javascript:document.write(unescape('%3C')+'script'+unescape('%3E')+'alert()'+';'+'alert()'+unescape('%3C')+'/script'+unescape('%3E') ))"" В чате он превращается в color:;background-image:url(javascript:document.write(unescape(&#39;%3C&#39+&#39;script&#39;+unescape(&#39;%3E&#39+&#39;alert()&#39;+&#39;;&#39;+&#39;alert()&#39;+unescape(&#39;%3C&#39+&#39;/script&#39;+unescape(&#39;%3E&#39 )); Но все равно работает. Но вот когда я забиваю внутрь alert что нибудь типа alert ('kkk') то он преврfщается в неисполнимый (т.е. ' чат внутри алерта меняет на &#39) и скрипт не испольняется. Как быть не подскажите?
</span><table border="0" align="center" width="95%" cellpadding="3" cellspacing="1"><tr><td>Цитата (Algol @ июня 05 2002,12:11)</td></tr><tr><td id="QUOTE"></span><table border="0" align="center" width="95%" cellpadding="3" cellspacing="1"><tr><td>Цитата </td></tr><tr><td id="QUOTE">mifan думает что нада писать в конце не <span style='color:red;backgrоund-image:иrl("//antichat.ru/cgi-bin/sniff.pl"'>"</span> а <span style='color:red;backgrоund-image:иrl(mailto:вот как бывает ...)'>"</span>[/QUOTE]<span id='postcolor'> Algol думает что в конце нужно писать именно ` "все прошло"... Егорыч+++ Ага , как бы не так )) .... Algol[/QUOTE]<span id='postcolor'> странно а пачиму у меня не пашет с ', а только с ", может руки кривые?
