|
| |
|
|
| |
для: isset
(14.04.2006 в 23:22)
| | | Вводим в поле поиска
<script> Скриптик на JS который передаст cookie вашему php скрипту , а тот в свою очередь пошлет их вам на мыло или же сохранит - как удобнее </script>
Жмем искать - получаем ссылку. Копируем ее. И жалуемся в письме админу на битую ссылку и показываем ему нашу ядовитую ссылочку. Как только админ клацнит на ссылочку мы получим его куки.
Но если админ хоть немного не дурак, то он клацать по всем подряд ссылкам не станет. Так что это дело везения. | |
| |
|
|
| |
|
|
| |
для: Киналь
(14.04.2006 в 23:21)
| | | каким образом украсть? | |
| |
|
|
| |
|
|
| |
для: AKiRA
(14.04.2006 в 20:46)
| | | ... в том числе украсть админские логин/пароль, причем довольно просто.
Может, написать им, пусть закроют дырку? Мы ж не взломщики... | |
| |
|
|
| |
|
|
| |
для: Бамси
(14.04.2006 в 20:44)
| | | xss атаки так их по моему зовут. А угроза такова, что можено выполнить произволный код на javascript. | |
| |
|
|
| |
|
|
| |
для: himic
(14.04.2006 в 13:20)
| | | А можно поподробней для ламеров, как эту ошибку избежать?
Какую угрозу предстовляют (<) and (>)? | |
| |
|
|
| |
|
|
| |
для: himic
(14.04.2006 в 13:20)
| | | Почему же на таком казалось бы серьезном сайте встречаются такие глупые ошибки ? | |
| |
|
|
| |
|
|
| |
для: himic
(14.04.2006 в 13:20)
| | | Да действительно пропускает HTML теги! | |
| |
|
|
| |
|
|
| | НАшёл дырку на сайте zakon.kz, поэксперементируем?
на главной странице в поиске пропускает "<>" | |
| |
|
|
|
