Здравствуйте и прошу прощения за сию тему(возможно даже я её не в том разделе создал), но сильно меня в данный час она заботить начала. Итак, перейдём сразу к делу. Имеется сайт, использующий библиотеки jquery, которые входят в javascript. И вот вопрос: как внедрить свой(и по возможности какой) js-код в код самого сайта, либо его страницы? Какую утилиту, расширение для этого использовать, чтобы достать токен/лог от аккаунта/админки, ибо сам, разумеется, доступа особого так к нему не имею? Прошу помочь, пожалуйста с этим.

Весьма извиняюсь за своё, так сказать, нубство. Что-то чудить я стал. Однако вопрос серьёзный. Заранее спасибо за помощь

Bortus said:
↑ (https://antichat.live/posts/4399890/)
Имеется сайт, использующий библиотеки jquery, которые входят в java.


Это как так? Библиотеки jQuery выполняются на стороне пользователя (браузер/приложение), а Java это язык/технология используемая на стороне сервера. т.е. сервер исполняет код/команды написанный на Яве, а браузер исполняет код Яваскрипт из библиотеки jQuery. Есть ещё NodeJS который исполняет код написанный на Яваскрипте на сервере, но тут не об этом.


Bortus said:
↑ (https://antichat.live/posts/4399890/)
И вот вопрос: как внедрить свой(и по возможности какой) js-код в код самого сайта, либо его страницы? Какую утилиту, расширение для этого использовать, чтобы достать токен/лог от аккаунта/админки, ибо сам, разумеется, доступа особого так к нему не имею?


Такие уязвимости называются Cross-Site-Scripting (https://defcon.ru/web-security/3428/) (XSS (http://blog.osinpaul.ru/2019/01/10/owasp-a7-xss-2017/)) и бывают разных мастей. Ну и там уже по обстоятельствам, либо js-код в комментариях или в запросе, но этот код должен исполнятся в сессии нужного аккаунта. Опять-же таки печеньки могут быть защищены от атак/запросов со стороны JS. И сам сервер может быть защищен от внешних JS-скриптов.

fandor9 said:
↑ (https://antichat.live/posts/4400002/)
Это как так? Библиотеки jQuery выполняются на стороне пользователя (браузер/приложение), а Java это язык/технология используемая на стороне сервера. т.е. сервер исполняет код/команды написанный на Яве, а браузер исполняет код Яваскрипт из библиотеки jQuery. Есть ещё NodeJS который исполняет код написанный на Яваскрипте на сервере, но тут не об этом.


Извините, исправил...


fandor9 said:
↑ (https://antichat.live/posts/4400002/)
Такие уязвимости называются
Cross-Site-Scripting (https://defcon.ru/web-security/3428/)
(
XSS (http://blog.osinpaul.ru/2019/01/10/owasp-a7-xss-2017/)
) и бывают разных мастей. Ну и там уже по обстоятельствам, либо js-код в комментариях или в запросе, но этот код должен исполнятся в сессии нужного аккаунта. Опять-же таки печеньки могут быть защищены от атак/запросов со стороны JS. И сам сервер может быть защищен от внешних JS-скриптов.


Атаку я думаю провести через незащищённую часть ресурса, а именно форум, на форуме, как я сам видел, аккаунты тоже не особо защищены, как и темы тоже.

fandor9 said:
↑ (https://antichat.live/posts/4400002/)
а Java это язык/технология используемая на стороне сервера


Добавлю что не весь java код всегда работает/работал на стороне сервера, я имею ввиду те же java апплеты...

Xss (названа чтоб не путать с css (стили), cross site scripting (выполнение скрипта JavaScript короче)) - это единственный пожалуй способ угнать куки (document.cookie). Но сейчас на нормальных сайтах стоят очень даже нормальные фильтры. Если бы в php следующий код


Code:


работал, и в адресной строке выполнялся код, то это бы было бы очень просто вытащить куки, достаточно открыть эту страничку в текущем окне браузера, но нет, так нельзя. А про отправить, темболее.

Короче читай и разбирайся. Как уже писалось выше.

Matrix001 said:
↑ (https://antichat.live/posts/4400565/)
Xss (названа чтоб не путать с css (стили), cross site scripting (выполнение скрипта JavaScript короче)) - это единственный пожалуй способ угнать куки (document.cookie). Но сейчас на нормальных сайтах стоят очень даже нормальные фильтры. Если бы в php следующий код

Code:


работал, и в адресной строке выполнялся код, то это бы было бы очень просто вытащить куки, достаточно открыть эту страничку в текущем окне браузера, но нет, так нельзя. А про отправить, темболее.
Короче читай и разбирайся. Как уже писалось выше.


Я так и делаю. Но всё же другие пути не отклоняю

Bortus said:
↑ (https://antichat.live/posts/4400024/)
Атаку я думаю провести через незащищённую часть ресурса, а именно форум, на форуме, как я сам видел, аккаунты тоже не особо защищены, как и темы тоже.


При этом надо учитывать, что печеньки (cookies) имеют контекст (поддомен + порт + протокол) к которому они привязаны. Т.е. если XSS-уязвимость нашли на forum.site.net, а желаете получить печеньки для www.site.net (http://www.site.net) то скорее всего не получится т.к. по умолчанию не разрешается. Если же форум на site.net/forum/ а печенька нужна на site.net/admin то в принципе XSS вполне может сработать.


tester_new said:
↑ (https://antichat.live/posts/4400507/)
Добавлю что не весь java код всегда работает/работал на стороне сервера, я имею ввиду те же java апплеты...


Да я знаю, но к счастью всё реже и реже.