Всем привет.

Тулза предназначена для продвинутого использования пассивных ХСС.

Скрипт создаёт внешне безопасную страницу, при заходе на которую происходит переадресация на уязвимый сайт с пассивной хсс.

Теперь вы можете подсунуть жертве внешне безобидный урл, на который она зайдёт без опаски.

===========
Руководство по использованию Passive XSS tool.
http://dron-anarchy.jino-net.ru/xss/how2use.html
===========

Скрипту необходим хостинг с поддержкой PHP.
Все необходимые данные он хранит в виде файлов.

Данный скрипт является обучающим материалом.
Он не является копией сервиса loc.netsec.ru .
Теперь Вы можете организовать свой собственный инструмент подобного назначения, скачав архив себе.

Я оставляю за вами право изменять и модернизировать этот скрипт, поскольку понимаю, что исходники очень сырые.
Желательно, чтобы вы не жадничали и выкладывали улучшеный вами скрипт во всеобщее пользование.

Вот в принципе и все, что я хотел сказать.
Все предложения и пожелания выслушаю обязательно и приму к сведению.
Искренне ваш, DRON-ANARCHY.

===========
Скачать можно отсюда:
http://www.dron-anarchy.jino-net.ru/xss.rar
===========

Штука очень интересная. Было б хорошо, если на Ачате появился подобный сервис, так как это именно наша сфера.

Пассивные хсс вовсе не так безопаны, как может показаться. При грамотном подходе с применением вот таких тулз риск палевности пассивных хсс снижается, а эффективность возрастает вразы.
Учитывая, что пассивные хсс просто ищутся и есть практически ВЕЗДЕ - задумайтесь...

Вот решил сделать дизайн к весьма интересному скрипту от DRON-ANARCHY, Passive-Xss-tool. Дизайн естественно сделан под античат :p .

http://rapidshare.de/files/30169673/xss.rar.html

блин, выложи принскрин. Не хочу качать и смотреть =( лениво

http://lamer.xost.ru/xss.png

Зачем писать раздельно Название сайта и Путь до узвимости? Потом, нужно делать как то по хитрее, хотябы банально спрятать ифрейм за кучу пробелов. Нету закрывающего html.
ИМХО какая то глупость. Сохранил себе шаблон и вперёд, продвинуто используй пассивные ХСС.

посмотри на скрипт повнимательнее и ты поймешь(возможно), зачем писать отдельно

Может я не достаточно внимателен, но я не понял.

Вот сделал еще одну модификацию этого скрипта. Теперь с ним не только удобно работать, но и безопаснее. Добавлено шифрование и скрыт iframe.

http://rapidshare.de/files/30276098/xssupd.rar.html

Написал свой. Скрипт использует бд MySQL.
Из возможностей:

-С одного IP можно добавить раз в два дня только один URL.
-Если в бд есть уже URL с данного IP, но два дня после последнего добавления прошло, скрипт просто делает обновление прошлой записи, а не создаёт новую.
-При заходе, скрипт эмулирует показ новости и пишет, что новость была удалена(чтоб не вызывать подозрения).
-Пользователь получает ссылку вида: http://host/dir/index.php?news=5

Скачать: http://dg-x.jino-net.ru/passive.xss.zip

у дрона уже не работает...
хорош врать)
http://www.dron-anarchy.jino-net.ru/xss/XSS.php

скачать тута:
http://www.dron-anarchy.jino-net.ru/xss.rar