Despre XSS

EliteHackers
SALUT 2022!! NE-AM MUTAT PE DISCORD ! Vrei să inviți un prieten? [T]eoria [H]aosului [C]ontrolat - https://discord.com/invite/U4HBCHzm7r Acesta aste link-ul oficial al acestui server.

Lista Forumurilor Pe Tematici

EliteHackers | Reguli | Inregistrare | Login

POZE ELITEHACKERS

Nu sunteti logat.

Nou pe simpatie:
Profil AlexandraPopa

Femeie
25 ani
Bucuresti
cauta Barbat
25 - 39 ani

EliteHackers / Windows - Hacking & Tools / Despre XSS

Moderat de Ad_Infinitum, AntiKiler, Puscas_marin, kooze, r3v

Autor

Mesaj

Pagini: 1

Puscas_marin
Moderator

Inregistrat: acum 17 ani
Postari: 315

[size=18]TUTORIAL FACUT LA CERERE[/size]

1.Ce este Xss? si la ce foloste?
R1. Xss([color=blue]Cross-site scripting) a aprut pentru prima data in 1996 si de obicei este este legata de cookieuri si message boxuri.XSS este o vulnerabilitate pe un server, ce permite introducerea unui script pe pagina HTML de pe un server[/color]
R2. Im prima faza am putea zice ca nu foloste la nimic un textbox inserat in script, dar daca stam sa ne gandim si sa avansam putin in Xss vedem ca are legatura cu "prajiturelele"(cookie), deci dupa cum stiti cookie este un text care pleaca din browserul tau inspre site si se intoarce inapoi neschimbat, daca reusim sa furam cookie-ul de la un admin avem pe acel site aces la admin panel, o putem folosi la redirectionare inserarea unor poze etc.
2.De ce apre Xss si unde apare?
R. Xss apre din cauza filtrari proaste a codului sau in multe cazuri nu se filtreaza chiar deloc. o sa iau urmatorul cod este folosit in majoritatea tutorialelor pt a semnifica XSS.

Code:

<html>
<head>
<title>Xss Vulnerabilitate</title>
</head>
<!-- html --!><!--cel mai bine e daca folositi html--!>
.....................
<form action="" method=post>
<b>codul Dvs:</b></br></br> <input type="text" name="xss"></br></br>
<input type="submit" value="XSSvul"></br>
</form>
......................
<!—mai departe e scriptul --!>

<?

if(isset($xss))
{
....
//Daca exista xss atunci vom indeplini

Code:

echo \'$test \';

aici apre Xss deoarece nu se filtreaza codul.

codul este foarte slab incat nu poate filtra ca in cod sunt simboluri interzise ca :

Code:

<>,\'," mai sunt si alte simboluri

[color=red] Sa mergem pe exemple clare, sa luma site-ul: "http://www.seriall.com"

Deobicei, pentru a gasi xss pe un site, Multi se folosesc de acest cod

Code:

<script>alert(/hello/)</script>

o sa ma folosesc si eu de acest cod pentru a insera un textbox in scriptul site-ului

Code:

<script>alert(/Aceasta pagina contine Xss/)</script>

Pana acum nimic misto decat niste textbox-uri.

Acum o sa ne folosim de un alt cod

Code:

<script>alert(document.cookie)</script>

!Ce face acest cod?
R. Acest script afiseaxa un message Box in care se afla cookieurile tale

Dupa cum vedeti in poza acel cod mi-a generat cookie-ul meu.
INTERESANT!!!!
Interesant ar fi daca am putea fura cookie-ul, care il genereaza Xss, unui admin al unui site. Intrebare este se poate?
Se poate dar nu direct ci indirect, adica printr-un cook-ie stealear. care nu este altceva decat erarea xss ascunsa intr-un url iar adminul dand clik pe acel url nu face altceva decat sa deschide acel Mesage box cu cookie-ul sau si apoi sa il trimita mai departe intr-un fisier facut de "hacker".
Sunt cateva COOKIE STEALER si pe site care sunt foarte usor de folosit. aveti descriere la ele, daca nu o sa caut eu cateva. Necesita cateva cunostinte de php si html pentru a putea face un stealer de cookie.
OBS!!!. nu puneti niciodata un link cu cookie stealer pe un site asa la intamplare deoarece adminul ar putea fi suspicios si o sa aveti ban.
O sa va dau un site unde puteti crypta url vostru care contine "ciordire de prajiturica"

Code:

http://ostermiller.org/calc/encode.html

V-am povestit cate ceva si despre Cookie acum sa trecem la redirectionare.
Dupa cum am spus Xss este o erare de pe un server ce poate fi acesata si d pa alt server, deci putem redirectiona de pe un server pe altul.
In acest caz sunt foarte multe coduri de redirectionare, depinde de filtrarea codului eu o sa va dau doar unul care se foloste mai des:

Code:

"window.location.href=\'\'AICI SITE".

Inserarea unei poze in Xss
Acesta este unul din multele coduri de insearare a unei imagini :

Code:

<IMG SRC="image.gif" ALT="some text">

Dupa inserare Url va fi astfel :

Code:

http://www.seriall.com/?s=%3CIMG+SRC%3D%22http%3A%2F%2Fimg167.imageshack.us%2Fimg167%2F5778%2F123321201ds4.jpg%22+ALT%3D%22Hack%22%3E

Acestea sunt doar cateva metode de a exploata erorile XSS, sper sa va fie de ajutor tutorialul.

Astept completari si intrebari. Imi cer scuze pentru orice eraore facuta.

Bafta!!!

Nu copiati tutorialul. daca il duceti de aici dati credit

_______________________________________
Deci asa se fac banii....da clik sa vezi

pus acum 16 ani

japonezul003
New Member

Inregistrat: acum 15 ani
Postari: 1

Am incercat sa-ti dau un mesaj privat dar nu se poate. As avea cateva nelamuriri si un pic de ajutor din partea ta referitor la cookie graber etc si la cum sa gasesc o vulnerabilitate pe un site anume. De asemenea ma intereseaza daca se poate folosi un cookie grabber fara sa gasesti o vulnerabilitate in site. In momentul in care sesiunea unui utilizator este deschisa ... poti sa-i furi cookie-urile fara ca el sa trebuiasca sa dea click pe un link ?

Mersi ... idul meu de mess este japonezul003

Salut!

pus acum 15 ani

Pagini: 1

Mergi la