|
пытаюсь разобраться с типом хсс
нашла на одном из сайтов уязвимость, но непонимаю еще, активная, или пассивная хсс, если я вытягиваю скриптом js куки, инфу по сессии..
Сам сайт не нужен, просто пытаюсь разобраться... :) ps. инфу читала, но... В разделе Уязвимости вряд ли кто ответит... |
куда ты вставляешь код?
он отображается в строке адреса? если да, то это пассивка |
пассивная - код передаёшь в урле юзверу!
активная - код уже находиться в теле страницы! |
ну для начала так- если ты ввела скрипт например в поиск и у тебя вылетел алерт- то пассивку нашла (т е от жертвы требуеться выполнить какое либо действие чтоб распрощаться с "печеньем"), ну а если тебе например удалось в каменты вбацать скрипт- и у каждого кто заходит на эту страницу- вылетает алерт - нашла активку, т е от жертв (а их буит много) не требуеться никаких действий чтоб сказать кукисам-"бай-бай"
Вот те пример активки: http://stolbik.kiev.ua/b5119978.html кто то этот сайт уже выкладывал здесь |
пассивка((
алерт получаю, и пока все. в тело страницы не попадает, но...посмотрим. всем спасибо, буду искать активную... |
| Время: 19:12 |