ANTICHAT — форум по информационной безопасности, OSINT и технологиям
ANTICHAT — русскоязычное сообщество по безопасности, OSINT и программированию.
Форум ранее работал на доменах antichat.ru, antichat.com и antichat.club,
и теперь снова доступен на новом адресе —
forum.antichat.xyz.
Форум восстановлен и продолжает развитие: доступны архивные темы, добавляются новые обсуждения и материалы.
⚠️ Старые аккаунты восстановить невозможно — необходимо зарегистрироваться заново.
 |
|
10.03.2012, 17:21
|
|
Guest
Сообщений: n/a
Провел на форуме:
149611
Репутация:
81
|
|
Пингвин, ты не вторую часть пиши, а первую дополни, тогда что-то будет, а не очередное говно
|
|
|
|
10.03.2012, 17:26
|
|
Познавший АНТИЧАТ
Регистрация: 30.04.2007
Сообщений: 1,206
Провел на форуме:
4778940
Репутация:
1257
|
|
Раз пишешь для новичков, описал бы уже применение post пасивок. Меня, в своё время, это интересовало больше всего.
|
|
|
10.03.2012, 19:33
|
|
Guest
Сообщений: n/a
Провел на форуме:
10816
Репутация:
74
|
|
Сообщение от mr.The
mr.The said:
Раз пишешь для новичков, описал бы уже применение post пасивок. Меня, в своё время, это интересовало больше всего.
Хорошо. Я думаю, что это многих интересует.
|
|
|
|
26.03.2012, 23:01
|
|
Guest
Сообщений: n/a
Провел на форуме:
10816
Репутация:
74
|
|
По просьбе mr.The, сейчас я попробую рассказать вам про проведение пассивной XSS через POST запрос.
Я не буду писать подробную статью, а лишь покажу азы проведения XSS через POST.
Так что же нам понадобится, чтобы провести XSS через POST?
Нам нужна обычная HTML страница, в которой будет содержаться скрипт автоматической отправки формы.
Давайте создадим страницу и назовем ее xss.html
Я предоставлю Вам четыре варианта отправки пассивной POST XSS.
Вариант #1
Код:
Code:
alert(document.cookie)'>
document.TheFormXSS.submit();
Вариант #2 (самый плохой вариант, не автоматический)
Код:
Code:
alert(document.cookie)">
Вариант #3
Код:
Code:
alert(document.cookie)">
document.getElementsByTagName('form')[0].submit();
Вариант #4 (мой любимый вариант, самый простой)
Код:
Code:
alert(document.cookie)'>
Единственный минус у всех четырех вариантов, это то, что наша жертва попадет на наш уязвимый сайт, что не есть хорошо.
Для этого нам понадобится невидимый iframe, давайте создадим страницу iframe.html и запишем в него следующий код:
На этом все.
Можно также зашифровать наш фрейм. Для этого существуют различные сервисы шифровки HTML кода (Крипт сервисы). Они делятся на два типа: бесплатные и платные. Бесплатный можно найти, погуглив в интернете (кл. слово зашифровать html код), но я советую Вам воспользоваться платным криптом. Они надежнее.
Спасибо за внимание |
|
|
|
27.03.2012, 00:00
|
|
Участник форума
Регистрация: 26.07.2009
Сообщений: 109
Провел на форуме:
657578
Репутация:
101
|
|
и так, раз для новичков, пожалуй начнем =)
сначала хочу сказать спасибо, за старание/статью
теперь ближе к делу
Сообщение от None
подставить в форму ввода следующий код
что такое форма ввода ? куда вводить точнее ? =))) когда подставляю в конце линка этот алерт, он просто лезит в гугл и пытается найти инфу
и с чего начиналась твоя деятельность по сей направлению ?
книги, мануалы, статьи и т.п
что бы уметь находить подобные уязвимости в сайтах, нужно шарить в сайто-строении ? или не обязательно ? |
|
|
|
27.03.2012, 00:10
|
|
Guest
Сообщений: n/a
Провел на форуме:
10816
Репутация:
74
|
|
Сообщение от [BES
"]
[BES] said:
и так, раз для новичков, пожалуй начнем =)
сначала хочу сказать спасибо, за старание/статью
вообщем ближе к делу
что такое форма ввода ? куда вводить точнее ? =)))
и с чего начиналась твоя деятельность по сей направлению ?
книги, мануалы, статьи и т.п
что бы уметь находить подобные уязвимости в сайтах, нужно шарить в сайто-строении ? или не обязательно ?
Ну я думаю, что почти каждый юзверь, который хочет познать мир XSS, знает, что такое форма ввода.
Ну а если нет, то объясню. Что под формой ввода я подразумеваю ввод пароля и логина для авторизации на сайте или же для поиска необходимой информации.
Познавал данный тип уязвимостей я сам, но конечно же читал и статьи, без них - ничего нормального не узнаешь.
Что бы уметь находить подобные уязвимости в сайтах, необходимо "шарить" в сайтостроении, хотя-бы на базовом уровне.
|
|
|
|
27.03.2012, 00:26
|
|
Участник форума
Регистрация: 26.07.2009
Сообщений: 109
Провел на форуме:
657578
Репутация:
101
|
|
оно ?
или нет ? |
|
|
|
27.03.2012, 00:32
|
|
Guest
Сообщений: n/a
Провел на форуме:
10816
Репутация:
74
|
|
Сообщение от [BES
"]
[BES] said:
оно ?
или нет ? Нет, Вы ошиблись.
|
|
|
|
27.03.2012, 00:33
|
|
Moderator - Level 7
Регистрация: 04.02.2007
Сообщений: 554
Провел на форуме:
7518056
Репутация:
1089
|
|
а где написанно про самодостаточную xss?? про такой тип data:text/html;base64,PHNjcmlwdD5hbGVydChkb2N1bWVudC5jb29raW UpPC9zY3JpcHQ+ а ведь еще недавно она прокатывала на майле в теле письма
|
|
|
|
27.03.2012, 00:38
|
|
Guest
Сообщений: n/a
Провел на форуме:
10816
Репутация:
74
|
|
Сообщение от Kusto
Kusto said:
а где написанно про самодостаточную xss?? про такой тип data:text/html;base64,PHNjcmlwdD5hbGVydChkb2N1bWVudC5jb29raW UpPC9zY3JpcHQ+ а ведь еще недавно она прокатывала на майле в теле письма
Ну меня еще никто не просил писать про самодостаточную XSS, как будет время - постараюсь написать.
|
|
|
|
|
|
|
|
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
|
|
|
|
![Аватар для [BES]](/avatars/avatar92263.jpg?3081367){kind=avatar}
![Аватар для [BES]](/avatars/avatar92263.jpg?3081401){kind=avatar}
Линейный вид
