Нашел гесту котороую можно ломануть , Advanced Guestbook 2.3.x На сайте: http://www.j-a.ru/ Там включен Html /// __________________ by Vandal !
Всё очень просто и примитивно. В сообщении вообще нет фильтров. Ломаем травиальным: "<img src=javascript:alert('ok')>"
Ну во первых УЯЗВИМОСТИ ФОРУМОВ! ВО ВТОРЫХ ЧТО ТЫ ХОЧЕШЬ ЭТИМ ДОКАЗАТЬ ИЛИ ПОКАЗАТЬ? И ПЕРЕЕЗЖЕАМ В ТРЕТЬИХ.
Мда...совершенно случайно раскрыл тама такую папку: http://www.j-a.ru/chats/chat/admin/ В ней особо ничё такого примечательного нет.. но блин.. как такое вообще можно было допустить?!)
Привет парни , вот вам еще геста 1 )http://www.nkhl.ru/guest/guest.php 2 ) SR Guestbook 3 ) $Password['nkhlru'] = "a0b7e6ca088a9301295037f0af0e0a38"; 4 ) Login:nkhlru 5 ) Pass: nkhlru И так для общего сведения : бывает что нельзя узнать пасс , можно глянуит другое , но только что это даст , но все же . Путь к файлу с ip-адресами нехороших человеков:data/banlist.dat Путь к файлу backup:data/backup.dat Путь к файлу с избранными сообщениями:data/save.dat Путь к файлу с базой данных:data/guest.dat и тд. ______________________ Я только учусь .... _______________________
Вообще офигенно, просто опасно выкладывать уязвимости. Первую гесту уже просто убили и админы убрали её вообще. Ничего не буду говорить про ламеризм и вандальство.
Ваше я удевлен , люди дауны как можно оставлять HTML код в гесте доступным . ____________________ П,С http://gesta.kristall-electrostal.ru/index.php Блин хотел я ломануть так успели до меня . ____________________________________ http://www.mv.org.ua/guestbook/index.php?entry=0 вот еще целая .