ANTICHAT.XYZ    VIDEO.ANTICHAT.XYZ    НОВЫЕ СООБЩЕНИЯ    ФОРУМ  
Баннер 1   Баннер 2
Antichat снова доступен.
Форум Antichat (Античат) возвращается и снова открыт для пользователей. Здесь обсуждаются безопасность, программирование, технологии и многое другое. Сообщество снова собирается вместе.
Новый адрес: forum.antichat.xyz
Вернуться   Форум АНТИЧАТ > ИНФО > Статьи > Авторские статьи
Перезагрузить страницу SiXSS своими руками
   
Ответ
Страница 2 из 2 < 1 2
 
Опции темы Поиск в этой теме Опции просмотра

  #11  
Старый 24.07.2007, 12:50
Аватар для Basurman
Basurman
Постоянный
Регистрация: 10.11.2006
Сообщений: 416
Провел на форуме:
5636868

Репутация: 849
Отправить сообщение для Basurman с помощью ICQ
По умолчанию
Смысл здесь в том, что у вас это работать не будет (в подавляющем больше случаев. У меня кстати тоже), если не

1. юзать utf-7 (с этим я особо пока не заморачивался)
2. переводить все в 0x. Однако здесь 2 проблемы: до кучи должна быть SQL inj, что не всегда имеется. Плюс, как и обозначено имеет маленькую эффективность.

Но в итоге мы имеем альтернативу, хоть какую, первому способу, что в некоторй степени повышает шанс атаки
 
Ответить с цитированием

  #12  
Старый 24.07.2007, 12:57
Аватар для Digimortal
Digimortal
Banned
Регистрация: 22.08.2006
Сообщений: 608
Провел на форуме:
6144796

Репутация: 1095


По умолчанию
Цитата:
Кстати, в большинстве случаев если запрос:
Код:
http://site.net/test.php?id=-1+union+select+1,<script>alert("SiXSS");</script>,3/*

выполняется, то и запрос
Код:
http://site.net/test.php?id="><script>alert("SiXSS")</script>

выполнит то же самое. Но это так, небольшое логическое отступление.
тока во втором случае это будет уже не SiXSS, а просто xss через вывод ошибки (ErrXSS =)).. с тем, что это сработает в большинстве случаев, я не очень согласен..
 
Ответить с цитированием

  #13  
Старый 24.07.2007, 16:04
Аватар для .Slip
.Slip
Leaders of Antichat - Level 4
Регистрация: 16.01.2006
Сообщений: 1,966
Провел на форуме:
21768337

Репутация: 3486


По умолчанию
Цитата:
Сообщение от -=lebed=-  
Сколько раз я находил sql-inj с выводом на экран того, что вбивается в адресную строку браузера, то в большинстве случаев пассивная XSS была возможна, если правильно составить запрос вида: <script>alert("XSS")</script> (закрыть необходимые теги для выполнения сценария).
А я что написал?%)
Цитата:
тока во втором случае это будет уже не SiXSS, а просто xss через вывод ошибки (ErrXSS =)).. с тем, что это сработает в большинстве случаев, я не очень согласен..
ну ясен перец что не сиксс ёпт. Я уже кучу сайтов видел где при сиксс выполняется код ксс
__________________
..
 
Ответить с цитированием
Ответ
Страница 2 из 2 < 1 2



« Предыдущая тема | Следующая тема »
Похожие темы
Тема Автор Раздел Ответов Последнее сообщение
Жучек для прослушки своими руками Gen1rus Сотовый фрикинг 16 10.03.2009 12:29
Firewall своими руками (XP) Exlibris Windows 10 17.07.2007 02:22
Своими руками. Allen Болталка 15 11.04.2006 18:37
Руководство по подсветке корпуса своими руками dinar_007 Аппаратное обеспечение 8 28.02.2006 20:54
Как своими руками заставить мышь вибрировать dinar_007 Аппаратное обеспечение 8 17.02.2006 09:18



Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
 


Быстрый переход




ANTICHAT.XYZ