ANTICHAT.XYZ    VIDEO.ANTICHAT.XYZ    НОВЫЕ СООБЩЕНИЯ    ФОРУМ  
Баннер 1   Баннер 2

ANTICHAT — форум по информационной безопасности, OSINT и технологиям

ANTICHAT — русскоязычное сообщество по безопасности, OSINT и программированию. Форум ранее работал на доменах antichat.ru, antichat.com и antichat.club, и теперь снова доступен на новом адресе — forum.antichat.xyz.
Форум восстановлен и продолжает развитие: доступны архивные темы, добавляются новые обсуждения и материалы.
⚠️ Старые аккаунты восстановить невозможно — необходимо зарегистрироваться заново.
Вернуться   Форум АНТИЧАТ > ИНФО_OLD > Статьи > Авторские статьи
Перезагрузить страницу SiXSS своими руками
   
 
Страница 2 из 2 < 1 2
 
Опции темы Поиск в этой теме Опции просмотра

  #11  
Старый 24.07.2007, 12:50
Basurman
Постоянный
Регистрация: 10.11.2006
Сообщений: 416
Провел на форуме:
5636868

Репутация: 849
Отправить сообщение для Basurman с помощью ICQ
По умолчанию
Смысл здесь в том, что у вас это работать не будет (в подавляющем больше случаев. У меня кстати тоже), если не

1. юзать utf-7 (с этим я особо пока не заморачивался)
2. переводить все в 0x. Однако здесь 2 проблемы: до кучи должна быть SQL inj, что не всегда имеется. Плюс, как и обозначено имеет маленькую эффективность.

Но в итоге мы имеем альтернативу, хоть какую, первому способу, что в некоторй степени повышает шанс атаки
 

  #12  
Старый 24.07.2007, 12:57
Digimortal
Banned
Регистрация: 22.08.2006
Сообщений: 608
Провел на форуме:
6144796

Репутация: 1095


По умолчанию
Цитата:
Кстати, в большинстве случаев если запрос:
Код:
http://site.net/test.php?id=-1+union+select+1,<script>alert("SiXSS");</script>,3/*

выполняется, то и запрос
Код:
http://site.net/test.php?id="><script>alert("SiXSS")</script>

выполнит то же самое. Но это так, небольшое логическое отступление.
тока во втором случае это будет уже не SiXSS, а просто xss через вывод ошибки (ErrXSS =)).. с тем, что это сработает в большинстве случаев, я не очень согласен..
 

  #13  
Старый 24.07.2007, 16:04
.Slip
Leaders of Antichat - Level 4
Регистрация: 16.01.2006
Сообщений: 1,966
Провел на форуме:
21768337

Репутация: 3486


По умолчанию
Цитата:
Сообщение от -=lebed=-  
Сколько раз я находил sql-inj с выводом на экран того, что вбивается в адресную строку браузера, то в большинстве случаев пассивная XSS была возможна, если правильно составить запрос вида: <script>alert("XSS")</script> (закрыть необходимые теги для выполнения сценария).
А я что написал?%)
Цитата:
тока во втором случае это будет уже не SiXSS, а просто xss через вывод ошибки (ErrXSS =)).. с тем, что это сработает в большинстве случаев, я не очень согласен..
ну ясен перец что не сиксс ёпт. Я уже кучу сайтов видел где при сиксс выполняется код ксс
__________________
..
 
 
Страница 2 из 2 < 1 2



« Предыдущая тема | Следующая тема »


Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
 


Быстрый переход




ANTICHAT.XYZ