Passive-Xss-tool by DRON-ANARCHY

Discussion in 'Избранное' started by DRON-ANARCHY, 20 Aug 2006.

  1. DRON-ANARCHY

    DRON-ANARCHY Отец порядка

    Joined:
    4 Mar 2005
    Messages:
    713
    Likes Received:
    142
    Reputations:
    50
    Всем привет.

    Тулза предназначена для продвинутого использования пассивных ХСС.

    Скрипт создаёт внешне безопасную страницу, при заходе на которую происходит переадресация на уязвимый сайт с пассивной хсс.

    Теперь вы можете подсунуть жертве внешне безобидный урл, на который она зайдёт без опаски.

    ===========
    Руководство по использованию Passive XSS tool.
    http://dron-anarchy.jino-net.ru/xss/how2use.html
    ===========


    Скрипту необходим хостинг с поддержкой PHP.
    Все необходимые данные он хранит в виде файлов.

    Данный скрипт является обучающим материалом.
    Он не является копией сервиса loc.netsec.ru .
    Теперь Вы можете организовать свой собственный инструмент подобного назначения, скачав архив себе.

    Я оставляю за вами право изменять и модернизировать этот скрипт, поскольку понимаю, что исходники очень сырые.
    Желательно, чтобы вы не жадничали и выкладывали улучшеный вами скрипт во всеобщее пользование.

    Вот в принципе и все, что я хотел сказать.
    Все предложения и пожелания выслушаю обязательно и приму к сведению.
    Искренне ваш, DRON-ANARCHY.

    ===========
    Скачать можно отсюда:
    http://www.dron-anarchy.jino-net.ru/xss.rar
    ===========
     
    #1 DRON-ANARCHY, 20 Aug 2006
    Last edited by a moderator: 20 Aug 2006
    8 people like this.
  2. Elekt

    Elekt Banned

    Joined:
    5 Dec 2005
    Messages:
    944
    Likes Received:
    427
    Reputations:
    508
    Штука очень интересная. Было б хорошо, если на Ачате появился подобный сервис, так как это именно наша сфера.

    Пассивные хсс вовсе не так безопаны, как может показаться. При грамотном подходе с применением вот таких тулз риск палевности пассивных хсс снижается, а эффективность возрастает вразы.
    Учитывая, что пассивные хсс просто ищутся и есть практически ВЕЗДЕ - задумайтесь...
     
  3. Go0o$E

    Go0o$E Members of Antichat

    Joined:
    27 Jan 2006
    Messages:
    304
    Likes Received:
    228
    Reputations:
    419
    AChat Design for Passive-Xss-tool

    Вот решил сделать дизайн к весьма интересному скрипту от DRON-ANARCHY, Passive-Xss-tool. Дизайн естественно сделан под античат :p .

    http://rapidshare.de/files/30169673/xss.rar.html
     
  4. Trinux

    Trinux Members of Antichat

    Joined:
    26 Nov 2004
    Messages:
    1,403
    Likes Received:
    296
    Reputations:
    364
    блин, выложи принскрин. Не хочу качать и смотреть =( лениво
     
    _________________________
  5. bul.666

    bul.666 булка

    Joined:
    6 Jun 2006
    Messages:
    719
    Likes Received:
    425
    Reputations:
    140
    http://lamer.xost.ru/xss.png
     
  6. zeppe1in

    zeppe1in Elder - Старейшина

    Joined:
    12 Jul 2006
    Messages:
    343
    Likes Received:
    66
    Reputations:
    18
    Зачем писать раздельно Название сайта и Путь до узвимости? Потом, нужно делать как то по хитрее, хотябы банально спрятать ифрейм за кучу пробелов. Нету закрывающего html.
    ИМХО какая то глупость. Сохранил себе шаблон и вперёд, продвинуто используй пассивные ХСС.
     
  7. DRON-ANARCHY

    DRON-ANARCHY Отец порядка

    Joined:
    4 Mar 2005
    Messages:
    713
    Likes Received:
    142
    Reputations:
    50
    посмотри на скрипт повнимательнее и ты поймешь(возможно), зачем писать отдельно
     
    #7 DRON-ANARCHY, 21 Aug 2006
    Last edited: 21 Aug 2006
  8. zeppe1in

    zeppe1in Elder - Старейшина

    Joined:
    12 Jul 2006
    Messages:
    343
    Likes Received:
    66
    Reputations:
    18
    Может я не достаточно внимателен, но я не понял.
     
  9. Go0o$E

    Go0o$E Members of Antichat

    Joined:
    27 Jan 2006
    Messages:
    304
    Likes Received:
    228
    Reputations:
    419
    Вот сделал еще одну модификацию этого скрипта. Теперь с ним не только удобно работать, но и безопаснее. Добавлено шифрование и скрыт iframe.

    http://rapidshare.de/files/30276098/xssupd.rar.html
     
    2 people like this.
  10. degeneration x

    degeneration x Elder - Старейшина

    Joined:
    11 Oct 2005
    Messages:
    92
    Likes Received:
    38
    Reputations:
    21
    Написал свой. Скрипт использует бд MySQL.
    Из возможностей:

    -С одного IP можно добавить раз в два дня только один URL.
    -Если в бд есть уже URL с данного IP, но два дня после последнего добавления прошло, скрипт просто делает обновление прошлой записи, а не создаёт новую.
    -При заходе, скрипт эмулирует показ новости и пишет, что новость была удалена(чтоб не вызывать подозрения).
    -Пользователь получает ссылку вида: http://host/dir/index.php?news=5

    Скачать: http://dg-x.jino-net.ru/passive.xss.zip
     
  11. DRON-ANARCHY

    DRON-ANARCHY Отец порядка

    Joined:
    4 Mar 2005
    Messages:
    713
    Likes Received:
    142
    Reputations:
    50

    Attached Files:

    • xss.rar
      File size:
      41 KB
      Views:
      611
    #11 DRON-ANARCHY, 14 Aug 2007
    Last edited by a moderator: 5 Sep 2007