24.08.2008, 01:54
|
|
Новичок
Регистрация: 21.08.2008
Сообщений: 9
Провел на форуме:
118397
Репутация:
0
|
|
Сообщение от diznt
Нашол я XSS. При реге я вставляю код в mail такой вот
><script>alert('XSS')</script>
Нажимаю "Зарегистрироваться" так он мне XSS вышибает (ну я не удивился)
Сами вопросы:
1-Почему я когда вставляю "><script>alert('XSS')</script> то в то поле каторое я вставил это (то есть в в поле маил) то туда выплевываеться(когда я нажал на кннопку "Зарегиться") след код
Код:
><script>alert('XSS')</script>>> </td> </tr> <tr> <td> Секретный вопрос: </td> <td> <INPUT size=40 maxlength=50 TYPE=TEXT NAME=question> </td> </tr> <tr> <td> Секретный ответ: </td> <td> <INPUT size=40 maxlength=50 TYPE=TEXT NAME=answer value=
В чем дело???
2-Как можно заюзать эту XSS??? она же токо при реге
ответ 1:
в поле выплевывает вышеописанную лабуду т.к. ломается html код. зайдя в исходник страницы ты сможешь увидеть почему это происходит (советую скачать например notepad++ он выделит цветом где в коде незакрытые тэги и т.д)
ответ 2
заюзать xss вполне реально и неважно в каком месте сайта оно находиться =) все что нужно это составить html страничку которая будет post запросом передавать полю email соответсвующие параметры. а потом впарить жертве ссылку на эту страницу.
вот ссылка на статью с примером такой странички. там впринципе все написанно достаточно подробно.
т.е ты на своем серваке ставишь:
1. снифер
2. страничку с специально сформированным html кодом.
после чего через личное сообщение,чат или другие средства общения на сайте впариваешь ссылку. человек идет по ссылке и куки твои.
|
|
|