 |
|
19.02.2012, 01:00
|
|
Познающий
Регистрация: 15.11.2011
Сообщений: 81
С нами:
7627286
Репутация:
-3
|
|
МАЗАХАКЕР, А нету прог которые ищат хss. Еще что делать если при хss или xsrf символ ")" без кавычек, меняется на смайлик - весело.
|
|
|
19.02.2012, 01:00
|
|
Познающий
Регистрация: 15.11.2011
Сообщений: 81
С нами:
7627286
Репутация:
-3
|
|
может вы читали мою тему насчет хss, короче там сессия связанна с iр, что можно делать в таких ситуациях.
|
|
|
|
20.02.2012, 01:00
|
|
Участник форума
Регистрация: 11.06.2009
Сообщений: 159
С нами:
8903558
Репутация:
60
|
|
Есть программы конечно. Acunetix из наиболее распространённых. Ещё гору можно найти по запросу "xss scanner".
Фильтрация скобочки факт забавный... попробуй URL-encode этой скобки: %29
Взял здесь.
Цитата:
сессия связанна с iр, что можно делать в таких ситуациях
Увы, ничего. |
|
|
|
20.02.2012, 01:00
|
|
Познающий
Регистрация: 15.11.2011
Сообщений: 81
С нами:
7627286
Репутация:
-3
|
|
спасибо большое. вот последняя проблема. На сайтах стоящих движке DCMS иначе говоря на хак.форумах DырkoCMS (не в обиду создателям) есть спец защита от XSS, там короче сессия не с ip связанна, а в сниффер приходят пример вот такие данные: PHPSESSID: приходит правильно; user_id: правильно; pass: ЙцУw355Fg и как это понять. а когда в кукисах через оперу смотрю в pass там видно такие символы примерно 0%%F%006%4 что это значит есть ли возможность обходить это
|
|
|
|
20.02.2012, 01:00
|
|
Познающий
Регистрация: 15.11.2011
Сообщений: 81
С нами:
7627286
Репутация:
-3
|
|
а вот есть такие xss: пассивная и за одно активка? тоисть когда в адресе пишешь типа
source:
а с адреса страницы передается в саму страницу? просто нашел сайт когда в адресе сайта пишешь alert("xss") и смотрю исходный код то там видно alert("xss") |
|
|
|
20.02.2012, 01:00
|
|
Участник форума
Регистрация: 11.06.2009
Сообщений: 159
С нами:
8903558
Репутация:
60
|
|
Цитата:
pass: ЙцУw355Fg и как это понять. а когда в кукисах через оперу смотрю в pass там видно такие символы примерно 0%%F%006%4 что это значит есть ли возможность обходить это
Это значит что у пользователя стоит пароль "ЙцУw355Fg", а у оперы в куках он в url-encode.
ЙцУw355Fg = %D0%99%D1%86%D0%A3w355Fg
Вывод - нечего там обходить))
Цитата:
а с адреса страницы передается в саму страницу? просто нашел сайт когда в адресе сайта пишешь alert("xss") и смотрю исходный код то там видно alert("xss")
Пассивка. Кагбэ все пассивки такие))
Для того что бы нормально понять разницу между пассивными и активными, нужно обратиться к английским терминам. У них они называются stored (хранимая, по-нашему активная) и reflected (отражаемая, по-нашему пассивная). Из подчёркнутых слов суть разницы между ними должна стать яснее.
|
|
|
|
20.02.2012, 01:00
|
|
Познавший АНТИЧАТ
Регистрация: 30.03.2010
Сообщений: 1,068
С нами:
8484086
Репутация:
335
|
|
У них они называются stored (хранимая, по-нашему активная) и reflected (отражаемая, по-нашему пассивная). Из подчёркнутых слов суть разницы между ними должна стать яснее.
Интересно, почему в английском нормальные термины - а у нас по-дурацки как всегда сделано=) Назвали бы тоже хранимая XSS и отражаемая, а лучше так и бы писали по иглишу stored и reflected XSS, выглядило бы и правильней, и презентабельней. А то активная, пассивная... Смысл слов не особо раскрывается.
ЗЫ: подразумевается, что активная xss выполняется всегда после открытия страницы какого-либо ресурса. Но есть же "хранимые" xss которые хранятся на сервере, но срабатывают только лишь по событию... Значит это тоже будут активки. Хех, есть распространенное убеждение и стереотип, что активка - всемогущая xss, которая сразу же запускается, выполняя произвольный javascript-код, при открытии страницы. А оказывается, по определению, все может быть далеко не так... В некоторых случаях пассивка может быть эффективней активки. Вот такой вот парадокс.
|
|
|
|
20.02.2012, 01:00
|
|
Познающий
Регистрация: 15.11.2011
Сообщений: 81
С нами:
7627286
Репутация:
-3
|
|
мне нравится пассивка чем активка и искать ее легко. ггг. мазахакер ответь в приват пожалуйста
|
|
|
|
21.02.2012, 01:00
|
|
Познающий
Регистрация: 15.11.2011
Сообщений: 81
С нами:
7627286
Репутация:
-3
|
|
MAZAZAKEP, скажи пожалуйста как как поменять этот код правильно чтобы данные менялись
code:
Имя *
Login *
Электронный ящик *
Будет использоватся для связи и восстановления данных Секретное слово *
Для дополнительной защиты своего аккаунта введите секретное слово. С помощью него будет происходить восстановление доступа и изменение важных данных.users_85493235"/>
просто непонятно с users
делал вот так не работает.
source:
Код:
window.___gcfg = {lang: 'ru'};
(function() {
var po = document.createElement('script'); po.type = 'text/javascript'; po.async = true;
po.src = 'https://apis.google.com/js/plusone.js';
var s = document.getElementsByTagName('script')[0]; s.parentNode.insertBefore(po, s);
})();
Профиль
Имя
*
Login
*
Электронный ящик
*
Будет использоватся для связи и восстановления данных
Секретное слово
*
Для дополнительной защиты своего аккаунта введите секретное слово. С помощью него будет происходить восстановление доступа и изменение важных данных.
|
|
|
|
13.03.2012, 01:00
|
|
Познавший АНТИЧАТ
Регистрация: 30.03.2010
Сообщений: 1,068
С нами:
8484086
Репутация:
335
|
|
M@ZAX@KEP
Он для этого специальную тему создал, я ему подсказал, проблема вроде как решилась+)
|
|
|
|
|
|
|
|
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
|
|
|
|
Линейный вид
