Просмотр полной версии : Помощь по xss
Всем привет!
Помогите найти решение..
Вот нашел на сайте xss/
Вот такого типа: site.ru/?chat=1'>Testalert('xss'); кавычки экранировало и выдало на сайте: '> (http://mkolhoz.mobi/?get_prize=1&chat=%3Cscript%3Ealert()
BabaDook
17.05.2015, 02:21
↑ (https://antichat.live/posts/3848327/)
Всем привет!
Помогите найти решение..
Вот нашел на сайте xss/
Вот такого типа: site.ru/?chat=1'>Testalert('xss'); кавычки экранировало и выдало на сайте:
'> (http://mkolhoz.mobi/?get_prize=1&chat=%3Cscript%3Ealert()
нет, это не возможно
↑ (https://antichat.live/posts/3848329/)
нет, это не возможно
а какие у меня есть варианты по этому поводу?
Я прописал: ?chat=1'> вывело мою картинку..
От балты прописал кусок php файла и выдало форму выгрузки файлов но не грузит файлы..
Может можно как-то вывести данные от базы есть я знаю как она подключена?
Вот так примерно:
$host='localhost';
$db_user_name='1111';
$db_password='111111';
$db_name='d111111';
Пробовал: ".$db_password." но выводит как текст..
Хоть какие то варианты что-то сделать есть?
BabaDook
17.05.2015, 03:07
кинь сайт
↑ (https://antichat.live/posts/3848342/)
кинь сайт
зачем? если дашь конструктивную информацию о вариантах что можно сделать тогда дам.
M_script
17.05.2015, 05:45
XSS выполняется на компьютере пользователя, а не на сервере. Поэтому никакие данные, находящие на сервере, получить через XSS нельзя.
WallHack
17.05.2015, 05:46
↑ (https://antichat.live/posts/3848327/)
Всем привет!
Помогите найти решение..
Вот нашел на сайте xss/
Вот такого типа: site.ru/?chat=1'>Testalert('xss'); кавычки экранировало и выдало на сайте:
'> (http://mkolhoz.mobi/?get_prize=1&chat=%3Cscript%3Ealert()
С помощью xss можно украсть куки не более
↑ (https://antichat.live/posts/3848362/)
С помощью xss можно украсть куки не более
Не совсем так Но X_script дал исчерпывающий ответ, XSS выполняется со стороны пользователя, а не сервера.
WallHack
17.05.2015, 11:41
↑ (https://antichat.live/posts/3848408/)
Не совсем так
Но X_script дал исчерпывающий ответ, XSS выполняется со стороны пользователя, а не сервера.
Я ответил на это "Можно ли выкачать базу таким способом? или просмотреть каталог сайта?"
Тогда без обид, извини Просто мною данная фраза воспринялась именно как утверждение в целом по xss, а не в контексте. Еще раз, сорри
Ну я вот через адресную строку вставляю код (к примеру выгрузки файлов и мне выводит на сайте мое поле но файл не грузи) это больше похоже на php иньекцию..
Что-то можно в таком случаи сделать?
M_script
18.05.2015, 05:05
↑ (https://antichat.live/posts/3848772/)
Ну я вот через адресную строку вставляю код (к примеру выгрузки файлов и мне выводит на сайте мое поле но файл не грузи) это больше похоже на php иньекцию..
Форма загрузки отображается только у тебя в браузере. Если отправить файл с помощь этой формы, то ничего не произойдет, сайт не будет знать что делать с полученным файлом.
vBulletin® v3.8.14, Copyright ©2000-2026, vBulletin Solutions, Inc. Перевод: zCarot