ANTICHAT — форум по информационной безопасности, OSINT и технологиям
ANTICHAT — русскоязычное сообщество по безопасности, OSINT и программированию.
Форум ранее работал на доменах antichat.ru, antichat.com и antichat.club,
и теперь снова доступен на новом адресе —
forum.antichat.xyz.
Форум восстановлен и продолжает развитие: доступны архивные темы, добавляются новые обсуждения и материалы.
⚠️ Старые аккаунты восстановить невозможно — необходимо зарегистрироваться заново.
 |
|
03.08.2015, 09:58
|
|
Новичок
Регистрация: 14.06.2010
Сообщений: 0
Провел на форуме:
2065
Репутация:
0
|
|
Я нашёл XSS уязвимость срабатывает при вводе скрипта и его отправки в саппорт .
А как XSS на линку повесить тогда?Что бы когда жертва переходила по линке xss срабатывала и куки приходили на сниффер .
Кстати кому надо могу в личку xss слить она от ксго сайта + дота .
+ Нашёл ещё xss в поиске . Точнее в поиске игроков .
При вводе ">alert() появляется пустое окно,в поиске игроков за место моего скрипта,появляется \ . + меняется ссылка,туда этот скрипт вбился . Это пассив или актив ? .
И как чёрт подери повесить xss на сниффер,у меня снифф онлайн hackerlab .
|
|
|
03.08.2015, 11:06
|
|
Участник форума
Регистрация: 10.05.2015
Сообщений: 251
Провел на форуме:
98300
Репутация:
31
|
|
Сообщение от SaNDER
↑
Я нашёл XSS уязвимость срабатывает при вводе скрипта и его отправки в саппорт .
А как XSS на линку повесить тогда?Что бы когда жертва переходила по линке xss срабатывала и куки приходили на сниффер .
Кстати кому надо могу в личку xss слить она от ксго сайта + дота .
+ Нашёл ещё xss в поиске . Точнее в поиске игроков .
При вводе ">alert() появляется пустое окно,в поиске игроков за место моего скрипта,появляется \ . + меняется ссылка,туда этот скрипт вбился . Это пассив или актив ? .
И как чёрт подери повесить xss на сниффер,у меня снифф онлайн hackerlab .
Скорее всего XSS твоя в POST параметре) Тоже вещь опасная.. Где то видил тут тему создавали про POST XSS, поищи на форуме.
|
|
|
|
03.08.2015, 11:30
|
|
Новичок
Регистрация: 04.12.2008
Сообщений: 11
Провел на форуме:
69033
Репутация:
8
|
|
Это вы геев так будете классифицировать.
А XSS может быть:
1) Stored (persistent)
2) Reflected
3) DOM-based
4) Self-xss
У вас скорее всего тип Reflected.
|
|
|
|
03.08.2015, 11:45
|
|
Новичок
Регистрация: 14.06.2010
Сообщений: 0
Провел на форуме:
2065
Репутация:
0
|
|
Сообщение от BigBear
↑
Это вы геев так будете классифицировать.
А XSS может быть:
1) Stored (persistent)
2) Reflected
3) DOM-based
4) Self-xss
У вас скорее всего тип Reflected.
Reflected - перевод можно ?
|
|
|
|
03.08.2015, 11:59
|
|
Новичок
Регистрация: 14.06.2010
Сообщений: 0
Провел на форуме:
2065
Репутация:
0
|
|
Сообщение от Filipp
↑
Скорее всего XSS твоя в POST параметре) Тоже вещь опасная.. Где то видил тут тему создавали про POST XSS, поищи на форуме.
а как узнать в пост она параметре или нет ?,
Чисто для инфы . Сайт продажа/покупка вещей кс го + ещё один сайт для доты(все также токо для доты),переход по сайтам через кнопочку . Авторизация на сайт через стим .
Покупка через стим трейд .
Защита HTTPS .
|
|
|
|
03.08.2015, 13:37
|
|
Познавший АНТИЧАТ
Регистрация: 23.04.2012
Сообщений: 1,109
Провел на форуме:
216062
Репутация:
231
|
|
Сообщение от SaNDER
↑
Reflected - перевод можно ?
Атака, основанная на отражённой уязвимости, на сегодняшний день является самой распространенной XSS-атакой.Эти уязвимости появляются, когда данные, предоставленные веб-клиентом, чаще всего в параметрах HTTP-запроса или в форме HTML, исполняются непосредственно серверными скриптами для синтаксического анализа и отображения страницы результатов для этого клиента, без надлежащей обработки. Отражённая XSS-атака срабатывает, когда пользователь переходит по специально подготовленной ссылке.
Пример:
http://example.com/search.php?q=DoSomething();
Если сайт не экранирует угловые скобки, преобразуя их в «<» и «>», получим скрипт на странице результатов поиска.
Отражённые атаки, как правило, рассылаются по электронной почте или размещаются на Web-странице. URL приманки не вызывает подозрения, указывая на надёжный сайт, но содержит вектор XSS. Если доверенный сайт уязвим к вектору XSS, то переход по ссылке может привести к тому, что браузер жертвы начнет выполнять встроенный скрипт.
|
|
|
|
03.08.2015, 13:55
|
|
Участник форума
Регистрация: 10.05.2015
Сообщений: 251
Провел на форуме:
98300
Репутация:
31
|
|
Сообщение от SaNDER
↑
а как узнать в пост она параметре или нет ?
Для начала почитай что такое POST.
|
|
|
|
03.08.2015, 13:56
|
|
Новичок
Регистрация: 14.06.2010
Сообщений: 0
Провел на форуме:
2065
Репутация:
0
|
|
Сообщение от grimnir
↑
Отражённые (Непостоянные)
Атака, основанная на отражённой уязвимости, на сегодняшний день является самой распространенной XSS-атакой.Эти уязвимости появляются, когда данные, предоставленные веб-клиентом, чаще всего в параметрах HTTP-запроса или в
форме HTML
, исполняются непосредственно серверными скриптами для
синтаксического анализа
и отображения страницы результатов для этого клиента, без надлежащей обработки. Отражённая XSS-атака срабатывает, когда пользователь переходит по специально подготовленной ссылке.
Пример:
http://example.com/search.php?q=DoSomething();
Если сайт не экранирует угловые скобки, преобразуя их в «<» и «>», получим скрипт на странице результатов поиска.
Отражённые атаки, как правило, рассылаются по электронной почте или размещаются на Web-странице.
URL
приманки не вызывает подозрения, указывая на надёжный сайт, но содержит вектор XSS. Если доверенный сайт уязвим к вектору XSS, то переход по ссылке может привести к тому, что браузер жертвы начнет выполнять встроенный скрипт.
Мне нужен сниффер,в котором я могу вставить свою волшебную xss-ссылочку . И ещё,я как понял он ворует кукисы,а в кукисах хэш и если его расшифровать можно получить пароль ? .
|
|
|
|
03.08.2015, 14:03
|
|
Новичок
Регистрация: 14.06.2010
Сообщений: 0
Провел на форуме:
2065
Репутация:
0
|
|
Сообщение от Filipp
↑
Скорее всего XSS твоя в POST параметре) Тоже вещь опасная.. Где то видил тут тему создавали про POST XSS, поищи на форуме.
Ну ведь скрипт в линке пошёл после "?" знака - смотрите сами ******.net/players/?st=">alert()
|
|
|
|
03.08.2015, 14:09
|
|
Участник форума
Регистрация: 10.05.2015
Сообщений: 251
Провел на форуме:
98300
Репутация:
31
|
|
Сообщение от SaNDER
↑
Ну ведь скрипт в линке пошёл после "?" знака - смотрите сами ******.net/players/?st=">alert()
Я ж тебе сказал, поройся в гугле и почитай про пост. Если твоя XSS в посте, ссылочку ты уже не подставишь. Например, данные с полей для входа в админку идут пост параметром. Получается что-то типа того:
POST /admin.php
...
HTTP-HEADERS
...
login=alert(1)&password=pass.
Обычный переход по ссылке это GET. Что бы раскрутить твою XSS'ку в посте, нужно заманить жертву на твой сайт, а оттуда можно уже будет отправить POST запрос на уязвимый сайт.
|
|
|
|
|
|
|
|
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
|
|
|
|
Линейный вид
