JoKeR_pS
11-30-2011, 03:58 PM
مكن فريق Virtual Luminous Security الروسى , ليلة أمس من الكشف ليلة أمسن عن تغرة XSS فى موقع Ebuddy (http://adf.ly/736209/http://www.ebuddy.com/) ( اكبر موقع IM فى العالم ) . و كما نعرف ان تغارت الـ XSS تمكننا من ادراج اكواد الـ Html و أكواد الـ JAVASCRIPT . وهده التغرة تكون فعالة عندما يرسل أحد يستعمل Ebuddy الى أحد أخر يستعمل هو الأيضا , ويجب أن يكون الكود مشفر. متال على الاستغلال لى التغرة :
وهادا الاستغلال لن ينجح فلبد من تشفيره و هادا متال على الاستغلال مشفر
استغلال للتغرة مشفر :افصل بين العلامة@
استغلال للتغرة غير مشفر :
<scri@pt@>a@lert('eBuddy Persistent XSS');</script>
alert('eBuddy Persistent XS S')
وهكذا سينجح الاستغلال و هده الصور كدليل من الفريق المكتشف
http://2.bp.blogspot.com/-DhzY2eq95Kw/TmAuTJ-PYTI/AAAAAAAAC4k/516-a4UFl4U/s1600/ebuddy.png (http://adf.ly/736209/http://2.bp.blogspot.com/-DhzY2eq95Kw/TmAuTJ-PYTI/AAAAAAAAC4k/516-a4UFl4U/s640/ebuddy.png)
http://4.bp.blogspot.com/--gZGlJbEGcY/TmAucgzasyI/AAAAAAAAC4o/hwb5lJBkSNw/s1600/iLkBc67tzK5N.png (http://adf.ly/736209/http://4.bp.blogspot.com/--gZGlJbEGcY/TmAucgzasyI/AAAAAAAAC4o/hwb5lJBkSNw/s640/iLkBc67tzK5N.png)
وتقبـلو خـالص تحياتـي:)
وهادا الاستغلال لن ينجح فلبد من تشفيره و هادا متال على الاستغلال مشفر
استغلال للتغرة مشفر :افصل بين العلامة@
استغلال للتغرة غير مشفر :
<scri@pt@>a@lert('eBuddy Persistent XSS');</script>
alert('eBuddy Persistent XS S')
وهكذا سينجح الاستغلال و هده الصور كدليل من الفريق المكتشف
http://2.bp.blogspot.com/-DhzY2eq95Kw/TmAuTJ-PYTI/AAAAAAAAC4k/516-a4UFl4U/s1600/ebuddy.png (http://adf.ly/736209/http://2.bp.blogspot.com/-DhzY2eq95Kw/TmAuTJ-PYTI/AAAAAAAAC4k/516-a4UFl4U/s640/ebuddy.png)
http://4.bp.blogspot.com/--gZGlJbEGcY/TmAucgzasyI/AAAAAAAAC4o/hwb5lJBkSNw/s1600/iLkBc67tzK5N.png (http://adf.ly/736209/http://4.bp.blogspot.com/--gZGlJbEGcY/TmAucgzasyI/AAAAAAAAC4o/hwb5lJBkSNw/s640/iLkBc67tzK5N.png)
وتقبـلو خـالص تحياتـي:)