2009年1月29日 星期四

Internet Exploiter 7 #3 Production Video

http://sites.ozetta.net/recycle/bin/x3.rar
P.S. 個標題打漏左個 "7" 字。唔鬼理了。
個帳號已經刪左,所以唔使諗住登入試下。

我發現我貼完打漏以下一段:

從片中得知,很多人也很會 Exploit 的。
他們在建國時,利用 HTML Injection 的技術,令國家「隱藏」起來,成為了一般人不能滅的國家。

程式很明顯沒有將 " 變成 " , 如果輸入以下國名:
XSS國" onmouseover="javascript:alert('XSS');
便可爆出 XSS。加上 EBS 的特色是那些帳號和密碼都 Store 在表單的隱藏欄位,連 Cookie Stealer 也省掉,只需讀那兩欄再幫他自動 post 表單去你個 server 就可以了。

片段最後也提出如果破解這些「隱藏」國,詳情請自行參看。

沒有留言:

張貼留言