Перейти к содержимому

 Друзья: Всё для вебмастера | [ Реклама на форуме ]


Rutor
Rutor


[ DDos Услуги. DDos атака. Заказать ДДос ]


баги icq.com

Автор ### , 26 Jun 2008 19:34

  • Авторизуйтесь для ответа в теме
В этой теме нет ответов

#1
###
Отправлено 26 June 2008 - 19:34

###

    Экзабайт

  • Advanced
  • PipPipPipPipPipPip
  • 1743 сообщений
Intro.

Пока админы ICQ.com закрывают баги с web-друзьями, им должен придти новый отчет, о багах форума, а пока он доходит, пока они его читают, пока исправляют баг, я решил выложить его на общее обозрение. Основной баг состоит в том что можно редактировать чужие сообщения, не зависимо от прав. Баг был найден уже довольно давно, по только вчера он стал активно использоваться (мною). Соответственно его заметили, написали письмо в support ICQ, это было уже сегодня.

Если успею я добавлю сюда ещё парочку не значительных багов.

1. Логинимся с любого номера на странице ]]>https://www.icq.com/.../login_page.php]]>

2. Заходим в любой топик форума ICQ.com (например: ]]>http://forums.icq.co...1&forum_page=1)]]>

3. Ишем пост который хотим исправить.

4. Выделяем кусок текста "Reply with Quote", и смотрим исходиник выделенного текста (в Firefox, Opera есть)

5. Ищем <div class="fp2-5-b" onclick="get_url('index.php?act=posting&amp;group_ id=528&amp;topic_id=161941&amp;post_id=xxxxxx&amp; action=quote')">

6. Запоминаем значение из post_id=xxxxxx (где xxxxxx число)

7. Возвращаемся на страницу, и внизу страницы нажимаем "Reply"

8. На новой странице вбиваем пост.

Вариант 1:
9. В Firefox (требуется плагин "Tamper Data"): в плагине "Tamper data", запускаем перехват, и на странице кликаем на "Post".

10. В появивщемся окне нажимаем "Вмешаться", и в новом окне в текстовом поле напротив "forum_edit%5Bpost_id%5D" вводим число xxxxxx (из пукнта 6).

11. Нажимаем на "OK"

Вариант 2:
9. В других браузерах не знаю (скажу одно, нам нужно модифицировать один параметр POST header), можно например сохранить страницу на диск, тогда:
Открываем страницу в блокноте и ищем:
<form name="forum_edit" action="index.php?act=posting&group_id=grpID" method="POST"> и перед "index.php" добавляем "http://forums.icq.com/forums/".

10. На следующей строчке после <form name="forum_edit"... добавляем строку <input type="hidden" name="post_id" value="xxxxxx">, не забыл изменить xxxxxx на число из пункта из пукнта 6.

11. Далее открываем страницу, и нажимаем "Post".

Вариант 2, я не проверял, писал прямо тут.. Но по своей логике должен работать.

(с) .fry, [ e l i T e ]

Ссылки из под хайдов не выдаю!

Обратно в Статьи

Количество пользователей, читающих эту тему: 0

0 пользователей, 0 гостей, 0 анонимных

  1. ProLogic.Su
  2. Other
  3. Статьи