 |
24.04.2011, 14:30
|
|
Новичок
Регистрация: 15.05.2010
Сообщений: 0
С нами:
8417113
Репутация:
0
|
|
Использование XSS в IFrame
Для новичков.
Если вы хотите использовать пассивную XSS, CSRF, или даже активную XSS всё это лучше делать с помощью iframe. Берёться ваш сайт, на него вставляется IFrame. А уже в Iframe вставляется весь злонамерный код.
Пример:
Код:
XAMEHA - Форум АНТИЧАТ - 2011
Код не изменяет внешний вид ресурса.
|
|
|
24.04.2011, 14:39
|
|
Участник форума
Регистрация: 18.10.2010
Сообщений: 252
С нами:
8193206
Репутация:
36
|
|
Прикольно так, но не ново.
Распиши уж тогда все что можна. Как сделать iframe незаметно и т.д.
|
|
|
|
24.04.2011, 14:46
|
|
Moderator - Level 7
Регистрация: 04.02.2007
Сообщений: 554
С нами:
10139306
Репутация:
1089
|
|
я пожалуй воздержусь от критики по поводу новизны....
единственная просьба- удалите пожалуйста следующую фразу
Сообщение от XAMEHA
Конечно таким способом нельзя провести POST-XXS.
не хотелось бы чтоб кто то ачат упрекнул в некомпетентности юзеров ....
Ну а так-же XXS исправте на XSS
По поводу POST запросов- внимательно посмотри видео /thread220316.html |
|
|
|
24.04.2011, 15:04
|
|
Новичок
Регистрация: 21.06.2005
Сообщений: 1
С нами:
10992741
Репутация:
0
|
|
Свежак...Ты просто гениален.
|
|
|
|
24.04.2011, 16:22
|
|
Познавший АНТИЧАТ
Регистрация: 27.08.2007
Сообщений: 1,107
С нами:
9846041
Репутация:
1177
|
|
Я в 2006 году так хекал мыльники mail.ru. Находил XSS на mail.ru, регал свой сайт на народе и вставлял туда сниффер. Потом кидал ссылочку жертвам.
Но это я, думаю этот способ использовали и еще раньше.... Так что, боюсь тебя расстраивать, ты опоздал.
|
|
|
|
24.04.2011, 17:24
|
|
Новичок
Регистрация: 14.12.2010
Сообщений: 24
С нами:
8111126
Репутация:
0
|
|
Я тоже знал этот способ.На мой фейк сайте был такой IFrame
|
|
|
|
24.04.2011, 17:38
|
|
Познавший АНТИЧАТ
Регистрация: 16.07.2010
Сообщений: 1,022
С нами:
8328566
Репутация:
935
|
|
Сообщение от XAMEHA
Expl0ited - crsf это совсем другое.
Чем отличается CSRF от первого поста?
Лично я всегда думал, что cross-site request forgery (межсайтовая подделка запросов) это как раз выполнение произвольного кода на стороне клиентов, путем внедрения этого самого кода на стороннем веб-ресурсе, что собственно ты и сделал. или я ошибался?
|
|
|
|
24.04.2011, 18:21
|
|
Новичок
Регистрация: 04.11.2004
Сообщений: 5
С нами:
11322426
Репутация:
0
|
|
Другого способа использования пассивных XSS, кроме описанного в этой теме, я и не представлял.
Никогда даже мысли не возникало, что кто-то может впаривать админу прямую ссылку с XSS
Это не троллинг, вполне серьезно.
upd:
Сообщение от Expl0ited
Лично я всегда думал, что cross-site request forgery (межсайтовая подделка запросов) это как раз выполнение произвольного кода на стороне клиентов, путем внедрения этого самого кода на стороннем веб-ресурсе, что собственно ты и сделал. или я ошибался?
XSS - это внедрение своего кода, CSRF - выполнение запросов без внедрения кода. |
|
|
|
|
|
|
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
|
|
|
|
Линейный вид
