Вчера нашёл XSS уязвимость в чате по адресу_ttp://volchat.ru/ Я не буду расписывать, что и как вам нужно делать чтобы взломать чат. Я просто быстро опишу найденную мною дыру. Заходим в чат, придумываем себе ник и выполняем вход. Никакой регистрации, как видите, сервис не требует. Далее отправим любое сообщение в чат, и нажмём на наш ник возле отправленного сообщения Справа появляется панель с функциями. Нам нужна функция 'Приват в новом окне'. Получается, что мы отправим приватное сообщение сами себе. В строку ввода текста вставляем наш любимый скрипт алерт <script>alert('Привет, мир!')</script> Жмём 'ОК' и видим, что наше приватное сообщение обработано как скрипт. Что можно делать дальше - сами знаете... Для тех, кто в танке - почитайте статьи про XSS, использование снифферов и т.п. P.S. Скрипт обрабатывается как СКРИПТ только в приватном окне. В остальных я, в принципе, не проверял но в главном окне чата не работает уязвимость. Это вам так, на заметку... Чтобы лишний раз не палиться в чате
Гдето у меня сорцы этого чата валялись, давно имел, может устарели уже по версии, найду - выложу... ещё гдето валяется спчат, ноучат, слчат и прочаяя хрень со всяхих фри сервисов.. з.ы. браузерные чаты не актуальны уже... разве что в локальных сетях деревенского типа...
