фреймворк для эксплуатации xss

Discussion in 'Болталка' started by x_Lex, 31 May 2015.

  1. x_Lex

    x_Lex Elder - Старейшина

    Joined:
    8 Jan 2005
    Messages:
    185
    Likes Received:
    118
    Reputations:
    171
    посоветуйте хороший фреймворк для эксплуатации xss?
    кроме beef, и китайских xssplatform,phpMyXSS
     
    #1 x_Lex, 31 May 2015
    Last edited: 1 Jun 2015
  2. noxjoker

    noxjoker Member

    Joined:
    7 Aug 2009
    Messages:
    189
    Likes Received:
    24
    Reputations:
    0
    Xss мертво (
     
    #2 noxjoker, 1 Jun 2015
  3. M_script

    M_script Members of Antichat

    Joined:
    4 Nov 2004
    Messages:
    2,581
    Likes Received:
    1,317
    Reputations:
    1,557
    Почему? Браузеры больше не поддерживают JS?
     
    #3 M_script, 1 Jun 2015
    frank, BigBear and yarbabin like this.
  4. x_Lex

    x_Lex Elder - Старейшина

    Joined:
    8 Jan 2005
    Messages:
    185
    Likes Received:
    118
    Reputations:
    171
    приколист, разве вопрос был "жив ли xss" ?
     
    #4 x_Lex, 1 Jun 2015
  5. YaBtr

    YaBtr Members of Antichat

    Joined:
    30 May 2012
    Messages:
    601
    Likes Received:
    350
    Reputations:
    652
    Кого-то вы задели за живое...
     
    #5 YaBtr, 1 Jun 2015
    x_Lex likes this.
  6. noxjoker

    noxjoker Member

    Joined:
    7 Aug 2009
    Messages:
    189
    Likes Received:
    24
    Reputations:
    0
    Уже браузеры выкупают где хсс где нет. Я это описывал в каком-то посте. Советую проверить на новом хроме, опере, мазиле.
    Нету возможности вставлять код через ивенты как это все делали раньше.
     
    #6 noxjoker, 1 Jun 2015
  7. yarbabin

    yarbabin HACKIN YO KUT

    Joined:
    21 Nov 2007
    Messages:
    1,663
    Likes Received:
    916
    Reputations:
    363
    обычные <script>alert()</script> да, но есть еще несколько типов xss, которые аудитор не может отловить.
     
    _________________________
    #7 yarbabin, 1 Jun 2015
  8. noxjoker

    noxjoker Member

    Joined:
    7 Aug 2009
    Messages:
    189
    Likes Received:
    24
    Reputations:
    0
    Например? Желательно на таком шаблоне onload='hide js'
     
    #8 noxjoker, 1 Jun 2015
  9. yarbabin

    yarbabin HACKIN YO KUT

    Joined:
    21 Nov 2007
    Messages:
    1,663
    Likes Received:
    916
    Reputations:
    363
    Stored, Dom based, и инъекты в сам JS, типа
    <script> param = "INJECT HERE"; </script>
    т. е. например:
    Code:
    http://www.eurosport.ru/_search_/search?q=lol%27;alert%28/XSS/%29;//&client=www-eurosport-ru&proxystylesheet=www-eurosport-ru&site=www-eurosport-ru&access=p&output=xml_no_dtd
     
    _________________________
    #9 yarbabin, 1 Jun 2015
  10. noxjoker

    noxjoker Member

    Joined:
    7 Aug 2009
    Messages:
    189
    Likes Received:
    24
    Reputations:
    0
    Да это будет работать но низкая вероятность найти такой сайт, раньше чуть ли не на каждом сайте можно было найти хсс сейчас же все очень плохо. Поэтому хсс мертв.
     
    #10 noxjoker, 1 Jun 2015
  11. assmaday

    assmaday New Member

    Joined:
    3 Feb 2013
    Messages:
    13
    Likes Received:
    1
    Reputations:
    0
    #11 assmaday, 1 Jun 2015
  12. x_Lex

    x_Lex Elder - Старейшина

    Joined:
    8 Jan 2005
    Messages:
    185
    Likes Received:
    118
    Reputations:
    171
    да нет же ;) жив еще! ты правильно подметил не так как раньше но все еще актуально ;)
    глянь на статистику http://www.cvedetails.com/vulnerabilities-by-types.php
    и сюда тоже https://forum.antichat.ru/threads/35802/

    assmaday спасибо за ссыклу
     
    #12 x_Lex, 1 Jun 2015
  13. M_script

    M_script Members of Antichat

    Joined:
    4 Nov 2004
    Messages:
    2,581
    Likes Received:
    1,317
    Reputations:
    1,557
    Это касается только пассивных (reflected) XSS.
     
    #13 M_script, 2 Jun 2015
(You must log in or sign up to post here.)
Language
English (US)
    ANTICHAT ™ © 2001-2027 Antichat Kft.