По просьбе
mr.The, сейчас я попробую рассказать вам про проведение пассивной XSS через POST запрос.
Я не буду писать подробную статью, а лишь покажу азы проведения XSS через POST.
Так что же нам понадобится, чтобы провести XSS через POST?
Нам нужна обычная HTML страница, в которой будет содержаться скрипт автоматической отправки формы.
Давайте создадим страницу и назовем ее
xss.html
Я предоставлю Вам четыре варианта отправки пассивной POST XSS.
Вариант #1
Код:
alert(document.cookie)'>
document.TheFormXSS.submit();
Вариант #2 (самый плохой вариант, не автоматический)
Код:
alert(document.cookie)">
Вариант #3
Код:
alert(document.cookie)">
document.getElementsByTagName('form')[0].submit();
Вариант #4 (мой любимый вариант, самый простой)
Код:
alert(document.cookie)'>
Единственный минус у всех четырех вариантов, это то, что наша жертва попадет на наш уязвимый сайт, что не есть хорошо.
Для этого нам понадобится невидимый iframe, давайте создадим страницу
iframe.html и запишем в него следующий код:
На этом все.
Можно также зашифровать наш фрейм. Для этого существуют различные сервисы шифровки HTML кода (Крипт сервисы). Они делятся на два типа: бесплатные и платные. Бесплатный можно найти, погуглив в интернете (кл. слово зашифровать html код), но я советую Вам воспользоваться платным криптом. Они надежнее.
Спасибо за внимание