HOME FORUMS MEMBERS RECENT POSTS LOG IN  
× Авторизация
Имя пользователя:
Пароль:
Нет аккаунта? Регистрация
Баннер 1   Баннер 2
НОВЫЕ ТОРГОВАЯ НОВОСТИ ЧАТ
loading...
Скрыть
Вернуться   ANTICHAT > БЕЗОПАСНОСТЬ И УЯЗВИМОСТИ > Уязвимости
Перезагрузить страницу XSS на Спрашивай.py
   
Ответ
 
Опции темы Поиск в этой теме Опции просмотра

  #1  
Старый 28.03.2014, 01:00
Schaposchnikowa
Новичок
Регистрация: 02.07.2012
Сообщений: 1
С нами: 7296086

Репутация: 0
По умолчанию
Есть ХSS на сайте http://sprashivai.ru/ проходит запрос в поле "Имя пользователя (логин)" при регистрации.
">
IMAGE http://s020.radikal.ru/i715/1403/4e/0015bd1e39d3.jpg


И вот так:
">

IMAGE http://s020.radikal.ru/i712/1403/bb/64c5396bb743.jpg

Проблема в том, что в адресной строке ничего не отображается и не могу сообразить как оформить ссылку для кражи куки. Как реализовать эту XSS? Подскажите пожалуйста.
𝕏 Twitter Reddit Telegram Копировать ссылку
 
Ответить с цитированием

  #2  
Старый 28.03.2014, 01:00
Suicide[VII]
Постоянный
Регистрация: 15.04.2011
Сообщений: 396
С нами: 7935446

Репутация: 49
По умолчанию
Не пройдет, значение введенное в "username", передается только в POST запросе.
 
Ответить с цитированием

  #3  
Старый 28.03.2014, 01:00
rox@hak
Постоянный
Регистрация: 04.07.2010
Сообщений: 592
С нами: 8345846

Репутация: 221


По умолчанию
Цитата:

Сообщение от Suicide[VII]

Не пройдет, значение введенное в "username", передается только в POST запросе.

А что, с пост запросами нельзя хсс провести? Еще как можно!
Тебе нужно зайти на спрашивай.ру, посмотреть исходный код формы
если форма стандартная взять адрес скрипта который обрабатывает пост запрос
создать на хостинге страницу с такой формой и в валуе прописать хсс
яваскриптом ее автосабмитить!
но жертву нужно будет заманивать на свой сайт!
Можешь еще попробовать переменные отправлять GET запросом, иногда прокатывает!
 
Ответить с цитированием

  #4  
Старый 28.03.2014, 01:00
Suicide[VII]
Постоянный
Регистрация: 15.04.2011
Сообщений: 396
С нами: 7935446

Репутация: 49
По умолчанию
Цитата:

Сообщение от rox@hak

А что, с пост запросами нельзя хсс провести? Еще как можно!
Тебе нужно зайти на спрашивай.ру, посмотреть исходный код формы
если форма стандартная взять адрес скрипта который обрабатывает пост запрос
создать на хостинге страницу с такой формой и в валуе прописать хсс
яваскриптом ее автосабмитить!
но жертву нужно будет заманивать на свой сайт!
Можешь еще попробовать переменные отправлять GET запросом, иногда прокатывает!

Ну это да.
Ответил по вопросу о возможности использования этого через адр.строку.
 
Ответить с цитированием
Ответ



« Предыдущая тема | Следующая тема »


Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
 


Быстрый переход




ANTICHAT ™ © 2001- Antichat Kft.