Indice[Bug] - Chat Group Msn
black hacking :: hacking :: java
Pagina 1 su1 • Condividere •
[Bug] - Chat Group Msn
Duffabio il Lun Mag 11, 2009 9:34 pm
Immagino che molti, se non tutti abbiano presente le bellissime, entusiasmanti, nonche piene di bug chat group di msn. 
:
bellissime ed entusiasmanti perchè permettono di far comunicare più persone contemporaneamente come in normali conversazioni multiple, ma permettono anche la presenza di Mod e Admin pronti a kickare o addirittura bannare eventuali rompi coglioni...fin qui non c'è che dire un'innovazione stimabile
il problema sorge quando quel bellissimo e coloratissimo pannello "Activity Panel" grazie al quale si può vedere chi è connesso, invitare altri utenti, uploadare liste contatti, guardare i log, ecc, resta aperto ovvero attivo :wacko:
perchè che cosa accade quando è attivo :huh: ?
semplice...chiunque senza distinzione tra mod, admin, o utenti normali, chiunque con un minimo di conoscenza di javascript (anche chi non ne ha proprio
) potrebbe effettuare un'iniezione di codice ovvero xss (cross site scripting) :unsure: in modo molto semplice, infatti basta scrivere il codice direttamente nella chat e se qualcuno (sfortunatamente) dovesse avere il pannello aperto AAAAAAAH disastro, gli potrebbero capitare cose interessanti, dai redirect a vari alert o o vari sovraccarichi del pc in modo che crashi.
una banale stringa è questa:
che apre pagine internet, con redirect su google in maniera continua, fino a quando il pannello non viene chiuso, questo è solo un esempio, ma gli scopi possono essere diversi, tanto come le varie applicazioni del javascript, quindi conviene sempre o comunque sarebbe meglio premere la X su quel bellissimo pannello
spero di non essere stato noioso e di avervi portato un'informazione utile
alla prossima ^_^
VoV
:bellissime ed entusiasmanti perchè permettono di far comunicare più persone contemporaneamente come in normali conversazioni multiple, ma permettono anche la presenza di Mod e Admin pronti a kickare o addirittura bannare eventuali rompi coglioni...fin qui non c'è che dire un'innovazione stimabile
il problema sorge quando quel bellissimo e coloratissimo pannello "Activity Panel" grazie al quale si può vedere chi è connesso, invitare altri utenti, uploadare liste contatti, guardare i log, ecc, resta aperto ovvero attivo :wacko:
perchè che cosa accade quando è attivo :huh: ?
semplice...chiunque senza distinzione tra mod, admin, o utenti normali, chiunque con un minimo di conoscenza di javascript (anche chi non ne ha proprio
) potrebbe effettuare un'iniezione di codice ovvero xss (cross site scripting) :unsure: in modo molto semplice, infatti basta scrivere il codice direttamente nella chat e se qualcuno (sfortunatamente) dovesse avere il pannello aperto AAAAAAAH disastro, gli potrebbero capitare cose interessanti, dai redirect a vari alert o o vari sovraccarichi del pc in modo che crashi.una banale stringa è questa:
- Codice:
<img src="javascript:window.open('http://www.google.it')">
che apre pagine internet, con redirect su google in maniera continua, fino a quando il pannello non viene chiuso, questo è solo un esempio, ma gli scopi possono essere diversi, tanto come le varie applicazioni del javascript, quindi conviene sempre o comunque sarebbe meglio premere la X su quel bellissimo pannello
spero di non essere stato noioso e di avervi portato un'informazione utile
alla prossima ^_^
VoV
Duffabio- Numero di messaggi: 3
Data d'iscrizione: 08.05.09
Permesso del forum:
Non puoi rispondere agli argomenti in questo forum