Всем привет. Тулза предназначена для продвинутого использования пассивных ХСС. Скрипт создаёт внешне безопасную страницу, при заходе на которую происходит переадресация на уязвимый сайт с пассивной хсс. Теперь вы можете подсунуть жертве внешне безобидный урл, на который она зайдёт без опаски. =========== Руководство по использованию Passive XSS tool. http://dron-anarchy.jino-net.ru/xss/how2use.html =========== Скрипту необходим хостинг с поддержкой PHP. Все необходимые данные он хранит в виде файлов. Данный скрипт является обучающим материалом. Он не является копией сервиса loc.netsec.ru . Теперь Вы можете организовать свой собственный инструмент подобного назначения, скачав архив себе. Я оставляю за вами право изменять и модернизировать этот скрипт, поскольку понимаю, что исходники очень сырые. Желательно, чтобы вы не жадничали и выкладывали улучшеный вами скрипт во всеобщее пользование. Вот в принципе и все, что я хотел сказать. Все предложения и пожелания выслушаю обязательно и приму к сведению. Искренне ваш, DRON-ANARCHY. =========== Скачать можно отсюда: http://www.dron-anarchy.jino-net.ru/xss.rar ===========
Штука очень интересная. Было б хорошо, если на Ачате появился подобный сервис, так как это именно наша сфера. Пассивные хсс вовсе не так безопаны, как может показаться. При грамотном подходе с применением вот таких тулз риск палевности пассивных хсс снижается, а эффективность возрастает вразы. Учитывая, что пассивные хсс просто ищутся и есть практически ВЕЗДЕ - задумайтесь...
AChat Design for Passive-Xss-tool Вот решил сделать дизайн к весьма интересному скрипту от DRON-ANARCHY, Passive-Xss-tool. Дизайн естественно сделан под античат . http://rapidshare.de/files/30169673/xss.rar.html
Зачем писать раздельно Название сайта и Путь до узвимости? Потом, нужно делать как то по хитрее, хотябы банально спрятать ифрейм за кучу пробелов. Нету закрывающего html. ИМХО какая то глупость. Сохранил себе шаблон и вперёд, продвинуто используй пассивные ХСС.
Вот сделал еще одну модификацию этого скрипта. Теперь с ним не только удобно работать, но и безопаснее. Добавлено шифрование и скрыт iframe. http://rapidshare.de/files/30276098/xssupd.rar.html
Написал свой. Скрипт использует бд MySQL. Из возможностей: -С одного IP можно добавить раз в два дня только один URL. -Если в бд есть уже URL с данного IP, но два дня после последнего добавления прошло, скрипт просто делает обновление прошлой записи, а не создаёт новую. -При заходе, скрипт эмулирует показ новости и пишет, что новость была удалена(чтоб не вызывать подозрения). -Пользователь получает ссылку вида: http://host/dir/index.php?news=5 Скачать: http://dg-x.jino-net.ru/passive.xss.zip
хорош врать) http://www.dron-anarchy.jino-net.ru/xss/XSS.php скачать тута: http://www.dron-anarchy.jino-net.ru/xss.rar
