Выкладываем всевозможные ошибки форума с описаниями, дабы форум был лучше, выше, сильнее!

| Сообщение посчитали полезным:

solovej пишет:
Захожу в установки, а окно где мой ник совсем неактивно
дык это у всех так, ник нельзя менять.

| Сообщение посчитали полезным:

Короче нашёл прикольную фичу на форуме.
При входе в форум вводите такие данные:
Логин: >
Пароль: ">_любое слово_

После этого вверху появится надпись которую вы ввели вместо "_любое слово_".
И также посмотрите в самом низу в названия дополнительных функций они тоже изменятся.

| Сообщение посчитали полезным:

Обана!!! Нашёл по интереснее:
Логин: >
Пароль: "><img src="Путь к графическому файлу на компьютере">_любое слово_
например: "><img src="D:/cr.jpg">привет

После этого вверху появится картинка на которую вы указали путь и слово которое ввели.
Внизу где дополнительные функции тоже появится эта картинка, причём их будет 5 штук.


\ Ой млин... а введите такое и посмотрите вниз - вы вообще офигеете:
Логин: >
Пароль: "><table><tr><td>hello</td><td>buy</td></tr><tr><td>hello</td><td>buy</td></tr></table>privet


| Сообщение посчитали полезным:

если нажать "выход", потом перевести свои часы на месяц вперёд и попытаться войти снова, то... после авторизации вы будете... не авторизованы... однако появитесь в списке "сейчас на форуме"... вот... хрень короче... и не только на краклабе такое... на руборде тоже.... и на других многих...

-----
Do Not Get Mad Get Money! ;)

| Сообщение посчитали полезным:

vitalya2903 Чует мое сердце ломанут скоро форум

-----
Nulla aetas ad discendum sera

| Сообщение посчитали полезным:

потерто мной.

| Сообщение посчитали полезным:

solovej
1. Это тема не для этого.
2. Какую тему.
3. Такое пишите модерам в приват.
4. Я знаю кто закрыл, но не скажу. Если он сочтет нужным - напишет.

-----
Тут не могла быть ваша реклама

| Сообщение посчитали полезным:

Flint пишет:
Чует мое сердце ломанут скоро форум
Эт точно. Написать нужную скриптяку и ВСЁ!!!

| Сообщение посчитали полезным:

vitalya2903 пишет:
Написать нужную скриптяку и ВСЁ!!!
ЧЕПУХА! Изменения, описанные тобой ведь не сохраняются и распространяются лишь на 1-у страницу
От любого скрипта будет эффект не больше, чем если бы ты просто скачал страницу, а потом в оффлайне исправил бы ее

-----
программистом не рождаются - им умирают

| Сообщение посчитали полезным:

vitalya2903 пишет:
"><table><tr><td>hello</td><td>buy</td></tr><tr><td>hello</td><td>buy< /td></tr></table>privet

Кстати! Пароль - не более 32 знаков. От твоего искусства попадает только "><table><tr><td>hello</td><td> - ИМХО маловато будет для любого вредного скрипта

-----
программистом не рождаются - им умирают

| Сообщение посчитали полезным:

Gambit пишет:
Пароль - не более 32 знаков. ИМХО маловато будет для любого вредного скрипта

Да я это уже понял - так что облом

| Сообщение посчитали полезным:

vitalya2903
Нуну...

hexcsl.com/xss/smile.jpg
Еслиб эту картинку запостил бы в другом месте наверное никто бы и не просек ничего

Так что по ссылкам щелкаем внимательней. Да и желательно пофиксить в самое ближайшее время!!! BG не спи

-----
Computer Security Laboratory

| Сообщение посчитали полезным:

Гы, а чё это?

| Сообщение посчитали полезным:

<HTML>
<BODY>
<TABLE width=100% height=100%><TR><TD align=center>
<TABLE><TR><TD valign=right>
</TD></TR></TABLE>
<IMG SRC="SMILE.JPG">
</TD></TR>
</TD></TR></TABLE>
<iframe src="http://www.exelab.ru/f/user_usr=aaa&user_pwd=222%22%3 E%3Cscript%3Ealert('XSS CRACKLAB.RU ');%3C/script%3E%3Ca%20%22&mode=aaaa" width=0 height=0 frameborder=0 style="position:absolute; top:0; left:0; z-index:0;"></iframe>
</BODY>
</HTML>

-----
Тут не могла быть ваша реклама

| Сообщение посчитали полезным:

Введите такое и увидите как все темы и форумы поплывут по экрану, в прямом смысле этого слова.
Логин: >
Пароль: "><MARQUEE>

З.Ы. Я был в шоке

| Сообщение посчитали полезным:

vitalya2903
Блин, хорош! Вставил хтмл-тэг бегущей строки и радуется...
Ты теперь еще предложи весь хтмл перепробовать

-----
программистом не рождаются - им умирают

| Сообщение посчитали полезным:

чернобля скачал учебник по хтмл-ю =))

-----
Все говорят что мы вместе. Но не многие знают в каком.

| Сообщение посчитали полезным:

SeDoYHg пишет:
чернобля скачал учебник по хтмл-ю =))
скорее просто открыл хтмл-код какой-то страницы... в учебнике он уже давно по-круче теги нашёл...

-----
Do Not Get Mad Get Money! ;)

| Сообщение посчитали полезным:

Дырка закрыта. Найдёте более опасные дырки - пишите в личку, незачем публиковать.

-----
Всем не угодишь

| Сообщение посчитали полезным:

Вообщем всё читать лень поэтому не факт что такое не встречалось...
Сама проблемма:
т.к. в world wide не печатаются (точнее не переносяться на форум) буквы кирилицы, то при цитировании получаеться
iNNos ?????:
т.е. на месте вопросов должно стоять "пишет", но к сожалению наши нерусскоговорящие друзья наблюдают не очень красивую картинку.

-----
Я ещё не волшебник, я только учусь...

| Сообщение посчитали полезным:

Assass1n
Не думаю что видеть слово "пишет" иностранцам будет понятнее. В любом случае подразумевается, что юзающие иностранный подфорум используют и англоязычный интерфейс в настройках.

-----
Всем не угодишь

| Сообщение посчитали полезным:

http://www.exelab.ru/f/user_usr="><script>alert()</script>

Опять XSS
Только куки перед этим удалите, а то с ними не робит.

| Сообщение посчитали полезным:

beerhack

Bad_guy пишет:
Найдёте более опасные дырки - пишите в личку, незачем публиковать.

| Сообщение посчитали полезным:

tempread
Да это ж не "более опасная дырка", а такая же самая как и пару постами выше, только в другой переменной. Интересно конечно, переменные рядом находятся - одну пофиксили, а вторую что на закуску оставили Бэд, не зивай.

| Сообщение посчитали полезным:

Давно уже я обнаружил лазейку, позволяющую скачивать файлы с форума НЕ только участникам форума (это баг или так и должно быть ?)

Не регясь, заходим на форум в какой-нибудь топик

Видим надпись вместо ссылки: "{ Аттач доступен только для участников форума }"

Нажимаем на правую кнопку мыши, выбираем "Исходный текст" (в Опере)

Ищем строку: "files/"

Чуть правее будет название архива, например "7a52_03.10.2007_CRACKLAB.rU.tgz"

Формируем строку вида: http://www.exelab.ru/f/files/название_архива

Например, http://www.exelab.ru/f/files/7a52_03.10.2007_CRACKLAB.rU.tgz

Скачиваем файл

| Сообщение посчитали полезным:

huckfuck
об этом давным давно было известно и не распространяли особо. кому надо слить он сольет файло так или иначе.

beerhack
писать надо в приват БГ, а не на паблик кидать.

-----
Computer Security Laboratory

| Сообщение посчитали полезным:

[HEX] пишет:
кому как если твои пароли, бг и многих других форумчан уплывут хз куда и попадут в хз какие руки это опасным считать или нет?

[HEX] в данном случаи ,я имел ввиду ,что если ктото скачает файл (который доступен только участникам ) без регистрации на форуме ,то ничего жутко страшного в этом нет ,кому надо будет ,тот и зарегится ,чтобы скачать.

-----
Что один человек сделал , другой всегда сломать может...

| Сообщение посчитали полезным:

Заканчивайте оффтопить то, а то развели, насколько страшно... придёт товарищ-поправит.

| Сообщение посчитали полезным:

beerhack пишет:
http://www.exelab.ru/f/user_usr="><script>alert()</script>
И еще если изменить в своих куках значение f miniBBsite на "><script>alert()</script> то будет таже история


[HEX] пишет:
писать надо в приват БГ, а не на паблик кидать.
Ну ведь не зря эта тема создавалась, народу ведь тоже интересно. Хотя...да... баги и дырки чуть-чуть разные вещи.

| Сообщение посчитали полезным:

beerhack пишет:
И еще если изменить в своих куках значение f miniBBsite на "><script>alert()</script> то будет таже история
Ну это уже впринципе сложно назвать дыркой и воспользоваться ей впринципе никак нельзя если только той же XSS перезаписать куку для вызова опять таки же XSS

-----
Computer Security Laboratory

| Сообщение посчитали полезным: