Трик със съобщението в профила ви в Zazz

Ако видите профила ми в Zazz.bg, ще видите, че възможно да се вкарват линкове директно в съобщението. Освен това може и да променяте стила на някой елементи. Това е така, защото са позволили <а href=""> тага. С него може да направите активна връзка, а ако изпуснете href атрибута и добавите style, може да си играете с външния вид. Останалите html тагове са изключени, но съм сигурен, че и само с тези ще видим интересни неща.

Едно нещо, което аз смятам за пропуск в защитата е, че са разрешени event-ите на линковете. Това означава, че можете да вкарате jscript код в някое onClick или onMouseOver събитие и да пускате код на машината на посетителите на профила ви. Това може и да е безобиден код като едно просто съобщение, като онова на моя профил, но потенциално може да е нещо неприятно.

Опитах се за променя кода на страницата с такова събитие, за да видя дали е възможно, но не успях за сега. Работата е там, че махат всички тагове различни от този за линк независимо къде са в кода. Знам, че е възможно, но трябва да си поиграя така да маскирам кода, че филтъра им да не открива таговете. Ще пиша ако и как съм го направил. Междувременно ще се радвам ако от Zazz.bg махнат възможността за добавяне на събития към линковете. Хубаво ще е да позволят и div, span и img таговете, които са безвредни и да оставят линковете.

Всъщност идеята за това ми дойде от профила на sm00k3.

zazz_pofile_html.png

Добавка – 2 часа по-късно

Това за променянето на кода го направих. Може да го видите в профила ми. Филтъра им засича всички тагове, затова трябва да маскирате отварящата скоба на String.fromCharCode(60); и затварящата на String.fromCharCode(62); и може да въведете каквото искате в страницата. Проблема е, че посетителя трябва да активира някое събитие с мишката, защото може да използвате само събитията на <а> тагът. В примера с моят профил това е onMouseOver събитие, което е най-лесното за активиране. Моля не използвайте тази възможност за добавяне на зловреден код. Надявам се, че екипа на Zazz.bg ще затворят тази дупка скоро.

zazz_bug_scr3.png zazz_bug_scr1.png
zazz_bug_scr2.png

[tags]zazz.bg, zazz, html, профил, връзки, трик, цветове, стилове, дупка, сигурност[/tags]

7 коментара

  1. sa6to predi jevels1 e bil admin ma ne6to sa go ovolnili li ne6to ot toz sord…!
    za PRO-tata sa6to az ot tri meseca ka4vam video i ve4e sam sas 205 i vseki den ka4vam po pet 6est ili pove4e a ne sam PRo a i clipovete ne sam mi tapi e da deset nqkade sa tapino ne sa i lo6i sa6to 🙂 imam 1800 nkade polu4eni komentara i nqkfi dr raoti 😀 i ne sam PRO nemoa razbera 6to ako iskate mi skiaite profila vav vbox7.com rega mi e wrestlemarti i mi kazete na LS ili na skype:martin_savov_2207_3597_7 kakfo mislite za vav zazz…!a samo ako moe nekoi mi kaze kodovete za namiga6t fon mozeliiiiiiiiiii pak na skype 😀 ili vav zazz

  2. Не можах да ти прочета целия коментар. Ако не искаш да пишеш на кирилица, поне използвай пунктуация и не съкращавай думи. Така е невъзможно да се разбере абсолютно нищо.

    С VBox7 не съм се занимавал от 6 месеца. Дал съм много предложения, но само малка част от тях са се сбъднали. Някой сред останалите са основни грешки в сайта, а други – допълнения подкрепени от мнозинството потребители. Мисля след края на Март пак да направя основен преглед на сайта, пък дано нещо да стане.

    През това време списъка ми с въпроси/отговори за VBox7 стана почти официален за сайта. Прегледай до по-подобно и там ще видиш какво съм писал за Pro-тата. Друго не мога да ти кажа, защото нямам нова информация.

  3. еми преди и jevels1 е бил админ ма са го изгонили.Аз ка4вам от 3 месеца клипове и ве4е са 210 ако не и пове4е и иам 1996 полу4ени коментара а не сам ПРО а nickflash има 77 клипа и 800 някаде полу4ени коментара и е ПРО.. Дано да си разбрахмe 🙂

  4. аа снимал си профила и си добавил буквоте или си бил пр опреди 😀

Вашият коментар

Вашият имейл адрес няма да бъде публикуван. Задължителните полета са отбелязани с *

Този сайт използва Akismet за намаляване на спама. Научете как се обработват данните ви за коментари.