PDA

Просмотр полной версии : Как использовать XSS уязвимость?


MercedesCL
02.03.2016, 21:08
Добрый вечер.

Допустим, установлено, что можно вставлять JavaScript код в форму для входа. Что можно вставить и чем это может быть полезно?

p.s. Только начал изучение JavaScript.

grimnir
02.03.2016, 21:21
Можно на сайте сделать всплывающее окошко для всех юзеров "Госдолг США на данный момент составляет NaN" -вот и польза уже

http://www.securitylab.ru/analytics/440187.php

http://sadda.ru/pages/ironburattin/stored-xss/stored-xss.htm

/threads/20140/ (https://antichat.live/threads/20140/)

https://ru.wikipedia.org/wiki/Межсайтовый_скриптинг (https://ru.wikipedia.org/wiki/%D0%9C%D0%B5%D0%B6%D1%81%D0%B0%D0%B9%D1%82%D0%BE%D 0%B2%D1%8B%D0%B9_%D1%81%D0%BA%D1%80%D0%B8%D0%BF%D1 %82%D0%B8%D0%BD%D0%B3)

MercedesCL
02.03.2016, 21:31
↑ (https://antichat.live/posts/3959190/)
Можно на сайте сделать всплывающее окошко для всех юзеров "Госдолг США на данный момент составляет NaN" -вот и польза уже
http://www.securitylab.ru/analytics/440187.php
http://sadda.ru/pages/ironburattin/stored-xss/stored-xss.htm
/threads/20140/ (https://antichat.live/threads/20140/)
https://ru.wikipedia.org/wiki/Межсайтовый_скриптинг (https://ru.wikipedia.org/wiki/%D0%9C%D0%B5%D0%B6%D1%81%D0%B0%D0%B9%D1%82%D0%BE%D 0%B2%D1%8B%D0%B9_%D1%81%D0%BA%D1%80%D0%B8%D0%BF%D1 %82%D0%B8%D0%BD%D0%B3)


А можно, допустим, отследить, что вводят в форму?

grimnir
02.03.2016, 21:51
Можно ,если заморачиваться не оххото есть софт https://www.owasp.org/index.php?title=OWASP_Xenotix_XSS_Exploit_Framewor k&setlang=es

Поднимает локальный сервер, копируем ссылку с него на инжект и инжектим через XSS и можно много чего делать

Альтернатива http://beefproject.com/

MercedesCL
02.03.2016, 21:54
↑ (https://antichat.live/posts/3959205/)
Можно ,если заморачиваться не оххото есть софт
https://www.owasp.org/index.php?title=OWASP_Xenotix_XSS_Exploit_Framewor k&setlang=es
Поднимает локальный сервер, копируем ссылку с него на инжект и инжектим через XSS и можно много чего делать
Альтернатива
http://beefproject.com/


Спасибо. Я через OWASP и находил уязвимость. И чуть попроще объяснить можно? Буду очень благодарен.

faza02
02.03.2016, 22:55
стоит ознакомиться с тем, что такое html и javascript, для начала.

MercedesCL
03.03.2016, 19:38
↑ (https://antichat.live/posts/3959231/)
стоит ознакомиться с тем, что такое html и javascript, для начала.


Ну HTML знаю JavaScript немного. Самые-самые основы.