 |
|
| node: | namietka, alebo .. opravte ma, ak sa mylim |
| template: | 4 |
| parent: | --- kyberia hack contest --- |
| owner: | sine |
| viewed by: | |
| created: | 23.04.2009 - 17:20:39 |
| updated: | 23.04.2009 - 17:25:37 |
|
cwbe coordinatez: 101 63540 1701996 4658010 4663087 ABSOLUT KYBERIA |
| permissions | |
| you: | r, |
| system: | public |
| net: | yes |
total descendants::
total children::1
ako tak nad tym rozmyslam a citam si topic,
id 2244 (Xanthix )
1: Stored XSS v userinfo
toto nie je bug a vobec to medzi zranitelnosti (a topicu) nepatri. totiz kedysi sem siel injectnut lubovolny javascript kod, nielen do userinfa, ale do akejkolvek nody ("a povazovali to za feature"). samozrejme tu ten kod zostal, takze ludia, ktori si popridavali twitter-e, last.fm atd napriklad do profilu alebo zapisnikov, ho mozu nadalej pouzivat, nie vsak pridavat/menit. a XanthiX si vlozil XSS s alert()-om do userinfa -> nody (v tomto kontexte) ako kazda ina. v case vyhlasenia hack contest-u to vsak uz mozne nebolo, javascript tam zostal, ale nejde ho nijak zneuzit, pridat novy, alebo zmenit.
este dodam, https://kyberia.sk/id/4659122
id 2244 (Xanthix )
1: Stored XSS v userinfo
toto nie je bug a vobec to medzi zranitelnosti (a topicu) nepatri. totiz kedysi sem siel injectnut lubovolny javascript kod, nielen do userinfa, ale do akejkolvek nody ("a povazovali to za feature"). samozrejme tu ten kod zostal, takze ludia, ktori si popridavali twitter-e, last.fm atd napriklad do profilu alebo zapisnikov, ho mozu nadalej pouzivat, nie vsak pridavat/menit. a XanthiX si vlozil XSS s alert()-om do userinfa -> nody (v tomto kontexte) ako kazda ina. v case vyhlasenia hack contest-u to vsak uz mozne nebolo, javascript tam zostal, ale nejde ho nijak zneuzit, pridat novy, alebo zmenit.
este dodam, https://kyberia.sk/id/4659122