ANTICHAT Forum
HOME FORUMS MEMBERS RECENT POSTS LOG IN  
× Авторизация
Имя пользователя:
Пароль:
Нет аккаунта? Регистрация
НОВЫЕ ТОРГОВАЯ НОВОСТИ
loading...
Скрыть
Вернуться   ANTICHAT > ИНФО > Статьи
   
Ответ
 
Опции темы Поиск в этой теме Опции просмотра

  #11  
Старый 10.03.2012, 17:21
Osstudio
Постоянный
Регистрация: 17.04.2011
Сообщений: 638
С нами: 7932566

Репутация: 81


По умолчанию

Пингвин, ты не вторую часть пиши, а первую дополни, тогда что-то будет, а не очередное говно
 
Ответить с цитированием

  #12  
Старый 10.03.2012, 17:26
mr.The
Познавший АНТИЧАТ
Регистрация: 30.04.2007
Сообщений: 1,205
С нами: 10016425

Репутация: 1257


По умолчанию

Раз пишешь для новичков, описал бы уже применение post пасивок. Меня, в своё время, это интересовало больше всего.
 
Ответить с цитированием

  #13  
Старый 10.03.2012, 19:33
mr.Penguin
Познающий
Регистрация: 08.03.2012
Сообщений: 40
С нами: 7463126

Репутация: 74
По умолчанию

Цитата:
Сообщение от mr.The  
Раз пишешь для новичков, описал бы уже применение post пасивок. Меня, в своё время, это интересовало больше всего.
Хорошо. Я думаю, что это многих интересует.
 
Ответить с цитированием

  #14  
Старый 26.03.2012, 23:01
mr.Penguin
Познающий
Регистрация: 08.03.2012
Сообщений: 40
С нами: 7463126

Репутация: 74
По умолчанию

По просьбе mr.The, сейчас я попробую рассказать вам про проведение пассивной XSS через POST запрос.

Я не буду писать подробную статью, а лишь покажу азы проведения XSS через POST.

Так что же нам понадобится, чтобы провести XSS через POST?

Нам нужна обычная HTML страница, в которой будет содержаться скрипт автоматической отправки формы.

Давайте создадим страницу и назовем ее xss.html

Я предоставлю Вам четыре варианта отправки пассивной POST XSS.

Вариант #1

Код:
alert(document.cookie)'>

document.TheFormXSS.submit();
Вариант #2 (самый плохой вариант, не автоматический)

Код:
alert(document.cookie)">
Вариант #3

Код:
alert(document.cookie)">

document.getElementsByTagName('form')[0].submit();
Вариант #4 (мой любимый вариант, самый простой)

Код:
alert(document.cookie)'>
Единственный минус у всех четырех вариантов, это то, что наша жертва попадет на наш уязвимый сайт, что не есть хорошо.

Для этого нам понадобится невидимый iframe, давайте создадим страницу iframe.html и запишем в него следующий код:

Код:

На этом все.

Можно также зашифровать наш фрейм. Для этого существуют различные сервисы шифровки HTML кода (Крипт сервисы). Они делятся на два типа: бесплатные и платные. Бесплатный можно найти, погуглив в интернете (кл. слово зашифровать html код), но я советую Вам воспользоваться платным криптом. Они надежнее.

Спасибо за внимание
 
Ответить с цитированием

  #15  
Старый 27.03.2012, 00:00
[BES]
Участник форума
Регистрация: 26.07.2009
Сообщений: 109
С нами: 8839076

Репутация: 101
По умолчанию

и так, раз для новичков, пожалуй начнем =)

сначала хочу сказать спасибо, за старание/статью

теперь ближе к делу

Цитата:
Сообщение от None  
подставить в форму ввода следующий код
что такое форма ввода ? куда вводить точнее ? =))) когда подставляю в конце линка этот алерт, он просто лезит в гугл и пытается найти инфу

и с чего начиналась твоя деятельность по сей направлению ?

книги, мануалы, статьи и т.п

что бы уметь находить подобные уязвимости в сайтах, нужно шарить в сайто-строении ? или не обязательно ?
 
Ответить с цитированием

  #16  
Старый 27.03.2012, 00:10
mr.Penguin
Познающий
Регистрация: 08.03.2012
Сообщений: 40
С нами: 7463126

Репутация: 74
По умолчанию

Цитата:
Сообщение от [BES  
"]
[BES] said:
и так, раз для новичков, пожалуй начнем =)
сначала хочу сказать спасибо, за старание/статью
вообщем ближе к делу
что такое форма ввода ? куда вводить точнее ? =)))
и с чего начиналась твоя деятельность по сей направлению ?
книги, мануалы, статьи и т.п
что бы уметь находить подобные уязвимости в сайтах, нужно шарить в сайто-строении ? или не обязательно ?
Ну я думаю, что почти каждый юзверь, который хочет познать мир XSS, знает, что такое форма ввода.

Ну а если нет, то объясню. Что под формой ввода я подразумеваю ввод пароля и логина для авторизации на сайте или же для поиска необходимой информации.

Познавал данный тип уязвимостей я сам, но конечно же читал и статьи, без них - ничего нормального не узнаешь.

Что бы уметь находить подобные уязвимости в сайтах, необходимо "шарить" в сайтостроении, хотя-бы на базовом уровне.
 
Ответить с цитированием

  #17  
Старый 27.03.2012, 00:26
[BES]
Участник форума
Регистрация: 26.07.2009
Сообщений: 109
С нами: 8839076

Репутация: 101
По умолчанию

оно ?



или нет ?
 
Ответить с цитированием

  #18  
Старый 27.03.2012, 00:32
mr.Penguin
Познающий
Регистрация: 08.03.2012
Сообщений: 40
С нами: 7463126

Репутация: 74
По умолчанию

Цитата:
Сообщение от [BES  
"]
[BES] said:
оно ?

или нет ?
Нет, Вы ошиблись.
 
Ответить с цитированием

  #19  
Старый 27.03.2012, 00:33
Kusto
Moderator - Level 7
Регистрация: 04.02.2007
Сообщений: 554
С нами: 10139306

Репутация: 1089


По умолчанию

а где написанно про самодостаточную xss?? про такой тип data:text/html;base64,PHNjcmlwdD5hbGVydChkb2N1bWVudC5jb29raW UpPC9zY3JpcHQ+ а ведь еще недавно она прокатывала на майле в теле письма
 
Ответить с цитированием

  #20  
Старый 27.03.2012, 00:38
mr.Penguin
Познающий
Регистрация: 08.03.2012
Сообщений: 40
С нами: 7463126

Репутация: 74
По умолчанию

Цитата:
Сообщение от Kusto  
а где написанно про самодостаточную xss?? про такой тип data:text/html;base64,PHNjcmlwdD5hbGVydChkb2N1bWVudC5jb29raW UpPC9zY3JpcHQ+ а ведь еще недавно она прокатывала на майле в теле письма
Ну меня еще никто не просил писать про самодостаточную XSS, как будет время - постараюсь написать.
 
Ответить с цитированием
Ответ



Предыдущая тема Следующая тема

Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
 


Быстрый переход




ANTICHAT ™ © 2001- Antichat Kft.