Это правильная XSS?
Пользователи, просматривающие топик: none
|
Зашли как: Guest
|
Имя  |
| Сообщение |
<< Старые топики Новые топики >> |
|
|
Это правильная XSS? - 2011-03-23 20:19:35.526666
|
|
|
Fild3y
Сообщений: 210
Оценки: 0
Присоединился: 2011-01-23 01:51:53.716666
|
Вот: http://play.ukr.net/videos/search?text=%22%3E%3Cscript%3Ealert%28%29%3C%2Fscript%3E
И обесните плиз как ее использывать, а то по мануалом не оч понял)
|
|
|
|
|
RE: Это правильная XSS? - 2011-03-24 01:05:51.046666
|
|
|
Fild3y
Сообщений: 210
Оценки: 0
Присоединился: 2011-01-23 01:51:53.716666
|
Блин типо не кто не знает?:(
|
|
|
|
|
RE: Это правильная XSS? - 2011-03-24 01:16:19.626666
|
|
|
rgo
Сообщений: 7170
Оценки: 281
Присоединился: 2004-09-25 05:14:25
|
Ну что значит не знает…
Нет, это не правильная XSS. Она не позволяет выполнять js-код. Она вставляет строку в код страницы, причём туда, куда не предусмотрено разработчиками, но строка эта не выполняется как js-скрипт. Тег <sсriрt> вырезается, а в </sсriрt> идёт замена угловых скобок на обозначения типа <
Это не XSS, а половина её.
|
|
|
|
|
RE: Это правильная XSS? - 2011-03-24 01:29:14.700000
|
|
|
FriLL
Сообщений: 2539
Оценки: 335
Присоединился: 2007-08-11 17:14:26.703333
|
http://play.ukr.net/videos/search?text=q1231%22+onClick%3Dalert%28%2Fxss%2F%29%3E
Теперь какбы правильная, кликни на текстовом поле
|
|
|
|
|
RE: Это правильная XSS? - 2011-03-24 01:43:54.240000
|
|
|
rgo
Сообщений: 7170
Оценки: 281
Присоединился: 2004-09-25 05:14:25
|
quote:
ORIGINAL: FriLL
http://play.ukr.net/videos/search?text=q1231%22+onClick%3Dalert%28%2Fxss%2F%29%3E
Теперь какбы правильная, кликни на текстовом поле
О да. Теперь работает. Теперь пора отвечать на вторую часть вопроса: как это дело использовать. =)
Сие есть пассивная xss. Наш скрипт выполняется только при переходе по специально заготовленному урлу (скрипт не сохраняется на сервере). Значит надо написать вредный скрипт, который будет делать в браузере жертвы то, что надо тебе. Вставить этот скрипт в урл, и убедиться что он действительно работает (на своём браузере). А потом придти к жертве, встать перед ней на колени и умолять перейти по этому урлу. Или можно не становиться на колени, но всё равно как-то придётся добиваться того, чтобы жертва кликнула по твоей ссылке.
|
|
|
|
|
RE: Это правильная XSS? - 2011-03-24 02:11:04.780000
|
|
|
Fild3y
Сообщений: 210
Оценки: 0
Присоединился: 2011-01-23 01:51:53.716666
|
quote:
ORIGINAL: rgo
quote:
ORIGINAL: FriLL
http://play.ukr.net/videos/search?text=q1231%22+onClick%3Dalert%28%2Fxss%2F%29%3E
Теперь какбы правильная, кликни на текстовом поле
О да. Теперь работает. Теперь пора отвечать на вторую часть вопроса: как это дело использовать. =)
Сие есть пассивная xss. Наш скрипт выполняется только при переходе по специально заготовленному урлу (скрипт не сохраняется на сервере). Значит надо написать вредный скрипт, который будет делать в браузере жертвы то, что надо тебе. Вставить этот скрипт в урл, и убедиться что он действительно работает (на своём браузере). А потом придти к жертве, встать перед ней на колени и умолять перейти по этому урлу. Или можно не становиться на колени, но всё равно как-то придётся добиваться того, чтобы жертва кликнула по твоей ссылке.
А можно поподробнее пожалуйста:)) А то потыкал везде ссылку на снифер не получилося:)
|
|
|
|
|
|
