HackPedia - Comunitatea Hackerilor Romani
Hacking, it security, programming, vulnerability, games, newsletter, it and c, programare, ethical hacking, exploits, information security, penetration testing, online security, web hacking,internet, antivirus, security, blocker, firewall
|
Lista Forumurilor Pe Tematici
|
HackPedia - Comunitatea Hackerilor Romani | Inregistrare | Login
POZE HACKPEDIA - COMUNITATEA HACKERILOR ROMANI
Nu sunteti logat.
|
Nou pe simpatie:
Ela 22 Cluj la Simpatie.ro
 | Femeie
22 ani
Cluj
cauta Barbat
22 - 48 ani |
|
|
Fire7
Membru Freak
Inregistrat: acum 16 ani
Postari: 113
|
|
TUTORIAL FACUT LA CERERE
1.Ce este Xss? si la ce foloste?
R1. Xss(Cross-site scripting) a aprut pentru prima data in 1996 si de obicei este este legata de cookieuri si message boxuri.XSS este o vulnerabilitate pe un server, ce permite introducerea unui script pe pagina HTML de pe un server
R2. Im prima faza am putea zice ca nu foloste la nimic un textbox inserat in script, dar daca stam sa ne gandim si sa avansam putin in Xss vedem ca are legatura cu "prajiturelele"(cookie), deci dupa cum stiti cookie este un text care pleaca din browserul tau inspre site si se intoarce inapoi neschimbat, daca reusim sa furam cookie-ul de la un admin avem pe acel site aces la admin panel, o putem folosi la redirectionare inserarea unor poze etc.
2.De ce apre Xss si unde apare?
R. Xss apre din cauza filtrari proaste a codului sau in multe cazuri nu se filtreaza chiar deloc. o sa iau urmatorul cod este folosit in majoritatea tutorialelor pt a semnifica XSS.
<html>
<head>
<title>Xss Vulnerabilitate</title>
</head>
<!-- html --!><!--cel mai bine e daca folositi html--!>
.....................
<form action="" method=post>
<b>codul Dvs:</b></br></br> <input type="text" name="xss"></br></br>
<input type="submit" value="XSSvul"></br>
</form>
......................
<!—mai departe e scriptul --!>
<?
if(isset($xss))
{
....
//Daca exista xss atunci vom indeplini
|
Code:
echo \'$test \';
aici apre Xss deoarece nu se filtreaza codul.
codul este foarte slab incat nu poate filtra ca in cod sunt simboluri interzise ca :
Code:
<>,\'," mai sunt si alte simboluri
Sa mergem pe exemple clare, sa luma site-ul: "http://www.seriall.com"
Deobicei, pentru a gasi xss pe un site, Multi se folosesc de acest cod
Code:
<script>alert(/hello/)</script>
o sa ma folosesc si eu de acest cod pentru a insera un textbox in scriptul site-ului
Code:
<script>alert(/Aceasta pagina contine Xss/)</script>
Pana acum nimic misto decat niste textbox-uri.
Acum o sa ne folosim de un alt cod
Code:
<script>alert(document.cookie)</script>
!Ce face acest cod?
R. Acest script afiseaxa un message Box in care se afla cookieurile tale
Dupa cum vedeti in poza acel cod mi-a generat cookie-ul meu.
INTERESANT!!!!
Interesant ar fi daca am putea fura cookie-ul, care il genereaza Xss, unui admin al unui site. Intrebare este se poate?
Se poate dar nu direct ci indirect, adica printr-un cook-ie stealear. care nu este altceva decat erarea xss ascunsa intr-un url iar adminul dand clik pe acel url nu face altceva decat sa deschide acel Mesage box cu cookie-ul sau si apoi sa il trimita mai departe intr-un fisier facut de "hacker".
Sunt cateva COOKIE STEALER si pe site care sunt foarte usor de folosit. aveti descriere la ele, daca nu o sa caut eu cateva. Necesita cateva cunostinte de php si html pentru a putea face un stealer de cookie.
OBS!!!. nu puneti niciodata un link cu cookie stealer pe un site asa la intamplare deoarece adminul ar putea fi suspicios si o sa aveti ban.
O sa va dau un site unde puteti crypta url vostru care contine "ciordire de prajiturica"
Code:
V-am povestit cate ceva si despre Cookie acum sa trecem la redirectionare.
Dupa cum am spus Xss este o erare de pe un server ce poate fi acesata si d pa alt server, deci putem redirectiona de pe un server pe altul.
In acest caz sunt foarte multe coduri de redirectionare, depinde de filtrarea codului eu o sa va dau doar unul care se foloste mai des:
Code:
"window.location.href=\'\'AICI SITE".
Inserarea unei poze in Xss
Acesta este unul din multele coduri de insearare a unei imagini :
Code:
<IMG SRC="image.gif" ALT="some text">
Dupa inserare Url va fi astfel :
Code:
cestea sunt doar cateva metode de a exploata erorile XSS, sper sa va fie de ajutor tutorialul.
Astept completari si intrebari. Imi cer scuze pentru orice eraore facuta.
Bafta!!!
By Mortal-team.com
|
|
| pus acum 16 ani |
|
