PDA

Просмотр полной версии : Помощь по xss


Bruclin
17.05.2015, 02:10
Всем привет!

Помогите найти решение..

Вот нашел на сайте xss/

Вот такого типа: site.ru/?chat=1'>Testalert('xss'); кавычки экранировало и выдало на сайте: '> (http://mkolhoz.mobi/?get_prize=1&chat=%3Cscript%3Ealert()

BabaDook
17.05.2015, 02:21
↑ (https://antichat.live/posts/3848327/)
Всем привет!
Помогите найти решение..
Вот нашел на сайте xss/
Вот такого типа: site.ru/?chat=1'>Testalert('xss'); кавычки экранировало и выдало на сайте:
'> (http://mkolhoz.mobi/?get_prize=1&chat=%3Cscript%3Ealert()


нет, это не возможно

Bruclin
17.05.2015, 02:23
↑ (https://antichat.live/posts/3848329/)
нет, это не возможно


а какие у меня есть варианты по этому поводу?

Bruclin
17.05.2015, 02:24
Я прописал: ?chat=1'> вывело мою картинку..

Bruclin
17.05.2015, 02:29
От балты прописал кусок php файла и выдало форму выгрузки файлов но не грузит файлы..

Может можно как-то вывести данные от базы есть я знаю как она подключена?

Вот так примерно:

$host='localhost';

$db_user_name='1111';

$db_password='111111';

$db_name='d111111';

Пробовал: ".$db_password." но выводит как текст..

Bruclin
17.05.2015, 02:33
Хоть какие то варианты что-то сделать есть?

BabaDook
17.05.2015, 03:07
кинь сайт

Bruclin
17.05.2015, 03:12
↑ (https://antichat.live/posts/3848342/)
кинь сайт


зачем? если дашь конструктивную информацию о вариантах что можно сделать тогда дам.

M_script
17.05.2015, 05:45
XSS выполняется на компьютере пользователя, а не на сервере. Поэтому никакие данные, находящие на сервере, получить через XSS нельзя.

WallHack
17.05.2015, 05:46
↑ (https://antichat.live/posts/3848327/)
Всем привет!
Помогите найти решение..
Вот нашел на сайте xss/
Вот такого типа: site.ru/?chat=1'>Testalert('xss'); кавычки экранировало и выдало на сайте:
'> (http://mkolhoz.mobi/?get_prize=1&chat=%3Cscript%3Ealert()


С помощью xss можно украсть куки не более

frank
17.05.2015, 11:37
↑ (https://antichat.live/posts/3848362/)
С помощью xss можно украсть куки не более


Не совсем так Но X_script дал исчерпывающий ответ, XSS выполняется со стороны пользователя, а не сервера.

WallHack
17.05.2015, 11:41
↑ (https://antichat.live/posts/3848408/)
Не совсем так
Но X_script дал исчерпывающий ответ, XSS выполняется со стороны пользователя, а не сервера.


Я ответил на это "Можно ли выкачать базу таким способом? или просмотреть каталог сайта?"

frank
17.05.2015, 11:48
Тогда без обид, извини Просто мною данная фраза воспринялась именно как утверждение в целом по xss, а не в контексте. Еще раз, сорри

Bruclin
18.05.2015, 03:30
Ну я вот через адресную строку вставляю код (к примеру выгрузки файлов и мне выводит на сайте мое поле но файл не грузи) это больше похоже на php иньекцию..

Что-то можно в таком случаи сделать?

M_script
18.05.2015, 05:05
↑ (https://antichat.live/posts/3848772/)
Ну я вот через адресную строку вставляю код (к примеру выгрузки файлов и мне выводит на сайте мое поле но файл не грузи) это больше похоже на php иньекцию..


Форма загрузки отображается только у тебя в браузере. Если отправить файл с помощь этой формы, то ничего не произойдет, сайт не будет знать что делать с полученным файлом.