מי שהו יכול לדווח על זה
|
|
מה אתה רוצה מאיתנו, שנרשם לזה?
אתה יודע לקרוא כותרות ? הוא רוצה שמישהו ידווח על הxss שיש שם.נכתב במקור על ידי Smoxer314
קרא כותרת שוב, לא רשום XSS
גם אם לא רשום מישהו יודע איך לדווח להם על זה
אוקי אני אעבור איתך על זה לאט:
- כותרת : "מישהו יכול לדווח על זה"
- אני נכנס לאשכול במחשבות "על מה כבר אפשר לדווח"
- אני רואה לינק : נכנס אליו ורואה אתר מבולגן כשבלשונית הראשית שלו כתוב <"#"alert#"xss
חושב כמה דקות, ומבין: הוא רוצה שמישהו ידווח על זה.
אגב, זאת לא פרצה לפי דעתי אז אין להם מה לדאוג ואין כאן כל כך מטרה לדווח.
אתה קולט שאם למשל אתה תרשום:
http://il.ikariam.com/?kid=%22%27%3C...3C%2Fscript%3E
אתה משנה את זה, זה סתם משהו דבילי..
אפילו אין צורך לבדוק את זה, זה לא חור באבטחה (גם אם כן זה כולה איקרים)
אבל אחי בבקשה תקרא את מה שאנשים רושמים עד הסוף...
כתבתי בסוף "זאת לא פירצה ולכן אין על מה לדווח".
אני חושב שאפשר לנעול את האשכול.
מצטער לא שמתי לב..
(עריכת הודעה: באמת אנשים? בחיים שלכם לא ראיתם הזרקת HTML? לא מסוכן? 'דבילי'? פשיי...)
(תנו לי אחסון מוסתר, 48 שעות, והגנה משפטית, ודרך Cookie Hijacking אני (או כל בנדאם אחר) פורץ את כל משתמשי איקרים.)
"לא פריצה"?
קודם כל, אם ניתן להזריק קוד HTML, זה פריצה ועוד איך.
ולעניין -
קודם כל, זה HTML INJECTION. (או CSS INJECTION, איך שבאלכם)
http://il.ikariam.com/?kid=%22%3E%3Cplaintext%3E
(דרך HTML הצלחתי לדחוף IFRAME שגרם לALERT)
(עובד בFIREFOX, לא עובד בGOOGLE CHROME)
אם אני יכול לגרום לIFRAME, באותה מידה אני או כל מישהו אחר יכול לבוא ולגנוב את העוגיות של כל מי שנכנס, אם זה לא מסוכן, אז אני לא יודע מה מסוכן.
ד"א עובד בדקות האלה על סקריפט ALERT שיעבוד בכל הדפדפנים, אם אצליח אערוך.
נערך לאחרונה על ידי Crazy_Style; 11-03-2012 בשעה 15:32.
סוף סוף מישהו שקצת מבין ב סגי פריצות!!!!!!!!!!!!!
הרשאות פרסום
ציטוט ההודעה
