Использование XSS в IFrame

Для новичков.

Если вы хотите использовать пассивную XSS, CSRF, или даже активную XSS всё это лучше делать с помощью iframe. Берёться ваш сайт, на него вставляется IFrame. А уже в Iframe вставляется весь злонамерный код.

Пример:


Code:
XAMEHA - Форум АНТИЧАТ - 2011

Код не изменяет внешний вид ресурса.

Прикольно так, но не ново.

Распиши уж тогда все что можна. Как сделать iframe незаметно и т.д.

я пожалуй воздержусь от критики по поводу новизны....

единственная просьба- удалите пожалуйста следующую фразу


XAMEHA said:
Конечно таким способом нельзя провести POST-XXS.


не хотелось бы чтоб кто то ачат упрекнул в некомпетентности юзеров ....

Ну а так-же XXS исправте на XSS

По поводу POST запросов- внимательно посмотри видео /thread220316.html

Свежак...Ты просто гениален.

Я в 2006 году так хекал мыльники mail.ru. Находил XSS на mail.ru, регал свой сайт на народе и вставлял туда сниффер. Потом кидал ссылочку жертвам.

Но это я, думаю этот способ использовали и еще раньше.... Так что, боюсь тебя расстраивать, ты опоздал.

Я тоже знал этот способ.На мой фейк сайте был такой IFrame

XAMEHA said:
Expl0ited - crsf это совсем другое.


Чем отличается CSRF от первого поста?

Лично я всегда думал, что cross-site request forgery (межсайтовая подделка запросов) это как раз выполнение произвольного кода на стороне клиентов, путем внедрения этого самого кода на стороннем веб-ресурсе, что собственно ты и сделал. или я ошибался?

Другого способа использования пассивных XSS, кроме описанного в этой теме, я и не представлял.

Никогда даже мысли не возникало, что кто-то может впаривать админу прямую ссылку с XSS

Это не троллинг, вполне серьезно.

upd:


Expl0ited said:
Лично я всегда думал, что cross-site request forgery (межсайтовая подделка запросов) это как раз выполнение произвольного кода на стороне клиентов, путем внедрения этого самого кода на стороннем веб-ресурсе, что собственно ты и сделал. или я ошибался?


XSS - это внедрение своего кода, CSRF - выполнение запросов без внедрения кода.