xss страница 1 | Сказка

По всем вопросам обращайтесь на наш Discord сервер.
Лор игры открыт под свободной лицензией.
Исходный код игры доступен на GitHub.

Мы безмерно благодарны каждому из вас за время, которое вы подарили нашей игре, истории, которые вы создали, поддержку, которую оказывали друг другу и нам.

Надеемся, Сказка останется светлым и добрым воспоминанием в вашей жизни, и вы будете вспоминать наши приключения с улыбкой.

Это были замечательные тринадцать лет. Спасибо вам за них.

С любовью, команда Сказки.

правила форума

red_led	#1 в начало ⇑
без гильдии могущество: 704 эльф Любомир 89 уровня	Не умею я доводить такие мысли до конца, но в журнале отсутствует фильтрация имени героя во всех падежах. Можно в настройках дописать <img src="" onerror="alert(':(')"/> и оно довольно быстро вылезет, даже если не трогать именительный падеж, который будет сразу заметен в других местах.

red_led

в начало ⇑

без гильдии
могущество: 704

эльф Любомир
89 уровня

Не умею я доводить такие мысли до конца, но в журнале отсутствует фильтрация имени героя во всех падежах.
Можно в настройках дописать <img src="" onerror="alert(':(')"/> и оно довольно быстро вылезет, даже если не трогать именительный падеж, который будет сразу заметен в других местах.

Нехороший	#2 в начало ⇑
[ОРДА] Офицер могущество: 13041 длань судьбы орк Гро-Мунх 85 уровня	Эльф с людским именем, я не понял, что ты хотел сказать. Нигде ничего не отсутствует, везде все есть ) ) )

br3t	#3 в начало ⇑
без гильдии могущество: 5 женщина Светлозара 53 уровня	Алерт не выскочил, но с фильтрацией явно косяк

AD_Темнослав	#4 в начало ⇑
[НБ] Командор могущество: 42267 разработчик мужчина Темнослав сын Злободара 112 уровня	Ну и что не так?

br3t	#5 в начало ⇑
без гильдии могущество: 5 женщина Светлозара 53 уровня	Т.е. вставка HTML никого не смущает, правда?

Silent Wrangler	#6 в начало ⇑
[ϟ] Командор могущество: 17420 длань судьбы гоблин Наивеличайший Выдумщик Генджис 131 уровня	Какая вставка? It's just you

br3t	#7 в начало ⇑
без гильдии могущество: 5 женщина Светлозара 53 уровня	Вот вам скрин настроек и результатом их отображения. Обвёл красным, чтобы было понятнее

Silent Wrangler	#8 в начало ⇑
[ϟ] Командор могущество: 17420 длань судьбы гоблин Наивеличайший Выдумщик Генджис 131 уровня	Эрм... Зачем ты их вставил? Эти поля регулируются только юзером, а до настройки в текстах отображается "герой/героиня" в разных падежах

red_led	#9 в начало ⇑
без гильдии могущество: 704 эльф Любомир 89 уровня	Ну, это не значит, что их невозможно изменить без ведома юзера. Может быть например какой нибудь левый клиент, использующий API

Silent Wrangler	#10 в начало ⇑
[ϟ] Командор могущество: 17420 длань судьбы гоблин Наивеличайший Выдумщик Генджис 131 уровня	Какой ещё клиент? Ты его использовал, что ли? Их не сделали ещё, насколько я знаю.

Migel	#11 в начало ⇑
без гильдии могущество: 9495 длань судьбы орк Yellow Horror 199 уровня	br3t Вот вам скрин настроек и результатом их отображения. Обвёл красным, чтобы было понятнее Насколько я могу судить по приведённым скриншотам, установленные в настройках формы склонения имени Вашего героя по падежам подставляются правильно. Вы хотите сказать, что это не Вы ввели такие формы склонения? У этой ситуации могут быть разные причины, но пока нет жалоб от других игроков - наиболее вероятны причины на Вашей стороне.

Migel

#11

в начало ⇑

без гильдии
могущество: 9495
длань судьбы
орк Yellow Horror
199 уровня

br3t

Вот вам скрин настроек и результатом их отображения. Обвёл красным, чтобы было понятнее

Насколько я могу судить по приведённым скриншотам, установленные в настройках формы склонения имени Вашего героя по падежам подставляются правильно. Вы хотите сказать, что это не Вы ввели такие формы склонения? У этой ситуации могут быть разные причины, но пока нет жалоб от других игроков - наиболее вероятны причины на Вашей стороне.

br3t	#12 в начало ⇑
без гильдии могущество: 5 женщина Светлозара 53 уровня	Я не пойму, вам показать xss в действии? Или вы не видите проблемы? Имеем: - кучу полей, где HTML не фильтруется - возможность вставить туда зловредный скрипт и - потенциальная возможность украсть пользовательские данные

Migel	#13 в начало ⇑
без гильдии могущество: 9495 длань судьбы орк Yellow Horror 199 уровня	br3t Я не пойму, вам показать xss в действии? Ну, попробуйте. Пока что, Вы сами написали, что скрипт Вам запустить не удалось. Но даже если бы удалось, кого Вы можете хакнуть кроме себя таким образом? Журнал Ваш доступен только Вам самому. Попробуйте атаку через именительный падеж, он доступен для просмотра всем на странице Вашего героя. Попробуйте атаку через другие падежи на PvP-арене. Если что-то получится, тогда и поднимайте шум.

Migel

#13

в начало ⇑

без гильдии
могущество: 9495
длань судьбы
орк Yellow Horror
199 уровня

br3t

Я не пойму, вам показать xss в действии?

Ну, попробуйте. Пока что, Вы сами написали, что скрипт Вам запустить не удалось. Но даже если бы удалось, кого Вы можете хакнуть кроме себя таким образом? Журнал Ваш доступен только Вам самому.

Попробуйте атаку через именительный падеж, он доступен для просмотра всем на странице Вашего героя. Попробуйте атаку через другие падежи на PvP-арене. Если что-то получится, тогда и поднимайте шум.

br3t	#14 в начало ⇑
без гильдии могущество: 5 женщина Светлозара 53 уровня	Т.е. ваша логика такова: "xss есть, но т.к. никто не догадался пока, как им воспрользоваться, то и проблемы нет"?

Migel	#15 в начало ⇑
без гильдии могущество: 9495 длань судьбы орк Yellow Horror 199 уровня	br3t Т.е. ваша логика такова: “xss есть Сможете запустить скрипт - значит есть. Сможете запустить скрипт на чужом браузере - значит есть и опасен. Иначе, нет. Сообщение изменено

правила форума