Цитата:

Сообщение от sniper99

мне интересно ! распиши если не трудно

окей, и так поехали.
у нас есть сылка с уязвимостью xss
http://occc.com.ua/auth/enter - вот она , кстати , это сылка рефлешет , зачит возможна дос и ддос атака.
мы знаем что там есть хсс пост методом. Я это очень сильно упустил когда задавал вопрос. есть два метода get и post . Что ты не трахать вам мозг объясню проще. get это когда вы забивайте сайт в браузере www.site.ru и жмёте ентер .
post это когда вы вводите данные , логин, пароль, маил, возрост, итд. Ну вообщем вводите данные и жмёте не ентер в браузере, а кнопку, Зарегестрироватся, отправить, там ещё что у нас есть ..... submit . Так вот эти данные идёт пос методом.

Ну ближе к делу. Я стал думать , как, откуда можно попсть на http://occc.com.ua/auth/enter эту сылку, и увидел форму логин, пароль.
IMAGE http://s017.radikal.ru/i435/1501/54/499c59cd4e6f.png

дальше я в вёл в логин и пароль > alert (12);
в надежде на то что я увижу окошко с 12. Но.. Я не увидел , странно бля, я эе знаю, там есть xss. но бля почему не работает скрипт, после долгих раздумей я взял и запустил 'Burp sute'.
зашёл опять на http://occc.com.ua и в поле логин написал 1 , в поле пас написал 2
Надеюсь видно где это поле IMAGE http://s017.radikal.ru/i441/1501/eb/be7114d0f477t.jpg

Так вот, там ещё есть поле url в него то я и в вёл свой скрипт и нажал FORWArd и появился алерт.IMAGE http://s013.radikal.ru/i322/1501/dc/65c5e8074087.png

Но я вас обманул , алерта не было , потому-что я не так написал . то что на кртинке >alert("wewee"); а надо было так написать ">alert("wewee");<