Xss для новичков

УСТРАНЕНИЕ КОНКУРЕНТОВ. БЛОКИРОВКА ДОМЕНОВ, БЛОКИРОВКА ИНСТАГРАМ/ТЕЛЕГРАМ И ДРУГОЕ. ПРОВЕРЕННЫЙ СЕЛЛЕР.

НОВЫЕ ТОРГОВАЯ НОВОСТИ ЧАТ

Скрыть

		ANTICHAT > БЕЗОПАСНОСТЬ И УЯЗВИМОСТИ > Уязвимости
Xss для новичков

Страница 4 из 8

Опции темы

Поиск в этой теме

Опции просмотра

#31

20.11.2014, 19:12

Kolyan333

Новичок

Регистрация: 02.05.2012

Сообщений: 24

С нами: 7383926

Репутация: 0

нашел xss, сканер показал так.) в общем форма для обратной связи с админом в поле ввожу скрипт выполняется только как подсунуть это жертве не знаю , данные передаются через POST . имел дело с get.. помогите пожалуйста

#32

20.11.2014, 19:53

~~faza02~~

Banned

Регистрация: 21.11.2007

Сообщений: 181

С нами: 9721141

Репутация: 1013

создай страницу с формой, которая будет отправлять пост запрос на страницу с хсс в ифрейме

#33

20.11.2014, 20:40

Kolyan333

Новичок

Регистрация: 02.05.2012

Сообщений: 24

С нами: 7383926

Репутация: 0

Цитата:

Сообщение от faza02

создай страницу с формой, которая будет отправлять пост запрос на страницу с хсс в ифрейме

спс щас сделаем.. эт активная xss получается?

#34

20.11.2014, 21:09

M_script

Новичок

Регистрация: 04.11.2004

Сообщений: 5

С нами: 11322426

Репутация: 0

Цитата:

Сообщение от Kolyan333

эт активная xss получается?

Нет. Код передается в запросе, а не хранится на сервере.

#35

20.11.2014, 22:56

Kolyan333

Новичок

Регистрация: 02.05.2012

Сообщений: 24

С нами: 7383926

Репутация: 0

Цитата:

Сообщение от M_script

Нет. Код передается в запросе, а не хранится на сервере.

спс братан . но проблема одна токен мешает, здесь на форуме видел статью обхода но я не смог реализовать, сможешь помочь если разбираешься просто эт в крупном сайте..в паблик не могу скинуть

#36

21.11.2014, 05:26

M_script

Новичок

Регистрация: 04.11.2004

Сообщений: 5

С нами: 11322426

Репутация: 0

Если в пассивной XSS есть CSRF-токен, это уже не XSS, сделать ничего не получится.

#37

22.03.2015, 00:58

noxjoker

Познающий

Регистрация: 07.08.2009

Сообщений: 85

С нами: 8821178

Репутация: 53

Требую помощи. В каких-то из обнов пошло в Опере и Хроме такое:

Есть ли решение ? Или XSS мёртв ?

Вписываешь html код с ява скриптом пишет такое, если убрать onerror="alert()" то тэг красным не отображается.

#38

22.03.2015, 08:55

~~faza02~~

Banned

Регистрация: 21.11.2007

Сообщений: 181

С нами: 9721141

Репутация: 1013

Цитата:

Сообщение от noxjoker

Требую помощи. В каких-то из обнов пошло в Опере и Хроме такое:

Есть ли решение ? Или XSS мёртв ?
Вписываешь html код с ява скриптом пишет такое, если убрать onerror="alert()" то тэг красным не отображается.

гуглите по chrome auditor bypass. для старых версий может что-то найдете. а так, да, скорее мертв, чем жив. однако DOM based или XSS в JS вида

Код:

");alert();//

все еще работает. ищите их

#39

25.08.2015, 23:54

Yume

Новичок

Регистрация: 25.08.2015

Сообщений: 1

С нами: 5641526

Репутация: 0

Цитата:

Сообщение от wanttoask

↑
Они в изображение записываются?

Они записываються в лог файл если я правильно понял)

#40

31.12.2015, 00:17

girke22

Новичок

Регистрация: 30.12.2015

Сообщений: 7

С нами: 5458646

Репутация: 0

Все детально разжевано, спасибо вам за статью. Помогла.

Страница 4 из 8

« Предыдущая тема | Следующая тема »

Похожие темы
Тема	Автор	Раздел	Ответов	Последнее сообщение
какОй трой ИСпоЛЬзоваТЬ длЯ поЛНого УПРАвЛЕиЕ уд.КОМПОМ?	UnKn0wN	Уязвимости Mail-сервис	32	08.04.2006 04:20

Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)

Быстрый переход