Прикольнись над другом - новогодние желания...

[vidocq89]

http://xmas-wish.com/zyve.html - собственно вот примерно такая ссылка...

короче напишите желание и сами поймете всю их систему

 

т.е "зарегавшись" там таким образом вы сможете давать друзьям своим ссылку свою (вам ее даст система) а потом на своей странице читать желания друзей))

Т.е можете почитать их желания)

 

А можете и поприкалываться - т.е по умолчанию желания буду просто писаться на странице тексом, но из за того, что там нету фильтрации никакой)) то можно туда и яваскрипт например вставить... и получается активная хсс в итоге у нас)

 

вот мне такое прислали... ну я решил проверить там фильтрацию... и в логине она вообще отсутствует вроде))

 

корое со второй попытки удалось вычислить что туда нужно написать, что бы при заходе на страницу просмотра желаний выскакивал алерт с нужной нам надписью без лишних символов...

 

"><script>alert("ЙА КРЕВЕДКО!")</script>

 

пишем вот это вместо логина и челу при заходе на страницу просмотра желаний выкинеться алерт с этой надписью))

 

© vidocq89

[radioelectron]

Так-таак. XSS-атаками балуемсо, да?

 

Я, как умный взял и перешел по http://xmas-wish.com/ , а не по http://xmas-wish.com/zyve.html

[vidocq89]

ну я как пример дал... что бы я смог увидеть ваши алерты... главное вы поняли что нужно делать что-бы другим ваши алерты выскакивали..)

и не надо меня банить за взлом) - это не взлом - это просто прикол - ничего опасного в этом нету

[radioelectron]

и не надо меня банить за взлом) - это не взлом - это просто прикол - ничего опасного в этом нету

Да никто не собирается банить)

[vidocq89]

а в тексте мне пока не получилось xss найти... эххх.. хотя может ищу не в том направлении т.к в поиске хсс еще от удачи кое-что зависит))

[JIABP]

Угу, разыграл меня, хорошо хоть я догадывался... = )