Думал в каком форуме поднять эту тему так как это JavaScript и применить его можно практически везде!...и решил сделать это здесь так как уязвимости форумов мне ближе!

новый сканер уязвимостей jitko

http://pcnews.ru/news/news.shtml?162278

собственно сабж!

кто знает,слышал,пользуется отписывайтесь!

представьте если вставить этот скрипт в пару форумов с большой проходимостью! это можно стока бажных сайтов найти))))дефэйс дефэйс !

']http://shados.0x48k.cc/other/jikto.zip
спасибо канечно! он уже у меня есть!
мне интересно кто нить им пользуется с форума! на сколько он эффективен!

обратил тока внимание на фрагмент кода занимающийся поиском Xss. "учитывая, что теги могут фильтроваться и вариации конструкций Xss немеренное множество, странно предполагать, что таким макаром будет обнаружено много багов межсайтового скриптинга." (с)сквоз. пардон за копирайты ;( но в недалекости кода действительно убедился лично :d

обратил тока внимание на фрагмент кода занимающийся поиском Xss. учитывая, что теги могут фильтроваться и вариации конструкций Xss немеренное множество, странно предполагать, что таким макаром будет обнаружено много багов межсайтового скриптинга.

а если его настроить к примеру на определённые Xss к примеру для IPB 2.1.7 и т.д.

а потом иметь базу таких форумов!

так как я не совсем знаток мне интересно можно ли подправить скрипт так чтоб он при обнаружении XSS тут же втыкал туда снифер!

а если его настроить к примеру на определённые Xss к примеру для IPB 2.1.7 и т.д.

а потом иметь базу таких форумов!

так как я не совсем знаток мне интересно можно ли подправить скрипт так чтоб он при обнаружении XSS тут же втыкал туда снифер!
куда втыкал?
чего снифать-то собрался? =)

куда втыкал?
чего снифать-то собрался? =)


ну я себе представляю себе это так может я и не прав!

скрипт находит форум в котором есть уязвимость Xss при исправлении данных модератором данные не фильтруются! скрипт пробует вставить ссылку на снифер в бажно месте если у него есть права модера!


я сейчас сказал глупость????? :p

ну, права модера здесь в принципе не при чем..
скрипт конечно можно подправить, но в общем случае я представляю себе это малореализуемым.

ребята, мот faq какой есть по тулзе? а-то и на damagelab не все сообразили, как юзать...

Берешь этот скрипт, переписываешь под свои нужды, и засовываешь в iframe на сайт.

n0ne, блин... это все понятно... но слова "переписывешь под свои нужды" очень многозначные... поконкретнее нельзя? где ссылки перебить и т.д.

Учи Js, без него не перепишешь. Эт не сплоит с сайта хеккер.ру. Сам помочь не могу, ибо JS херово знаю :)

а сам не юзаешь? Так мот кто-нить подскажет конкретно строки, которые нужно заменять?

есть документ pdf, который рассказывает о принципе работы скрипта... Только одно НО: эта документация на английском... Кого не пугает язык, те вперед разбираться: _http://www.spidynamics.com/spilabs/education/presentations/Javascript_malware.pdf