Další (zne?)užitelné XXS (Novinky.cz jsou bonus)

BugTrack

Další (zne?)užitelné XXS (Novinky.cz jsou bonus)#
Dlouho jsem sem nedával nějaké úryvky ze seznamu XXS stránek který píšu,tak tady tedy nějaké dám.

lokola.cz XXS
krypta.cz SQLi
balonky.cz XXS
databazeknih.cz XXS
sulzmrtvehomore.cz XXS
ceskakultura.eu XXS
krby-bef.cz XXS,SQLi
ikatalog.bvv.cz XXS
jic.cz XXS
tipnanakup.bezpecnyobchod.cz XXS
hudebni-nastroj.cz XXS
navrcholu.cz XXS
thesims2.cz XXS,SQLi
virutalni-skoly.cz XSS
novinky.cz XSS
ulozto.cz (?) XSS
karaoketexty.cz XSS
gavu.cz XSS
hrady.cz XSS
pppkv.cz XSS
shop.elisabeth-cheb.cz XSS
in-pocasi.cz XSS
eshop.tor.cz XSS
reality-cheb.cz XSS
proceram.cz XSS
hotely.cz XSS
clkcheb.cz XSS
dragouncheb.cz XSS
kosmas.cz XSS
krav-maga.cz XSS

Určitě najdete chyb více,neměl jsem nějak moc čas každou stránku testovat na každý typ zranitelnosti.
Ovšem kdo bude hledat na karaoketexty.cz ten najde.

Nedavno bylo v ohrožení i uložto.cz ale i bez mého písemného vzkazu chybu rychle opravili a druhý den od objevu sem jí zde už nenašel.
(odpovědět)
Netkitty | 192.99.2.*17.12.2015 7:24
re: Další (zne?)užitelné XXS (Novinky.cz jsou bonu#
ahoj jen pro poradek -> je to XSS (ne XXS) jako Cross (X) Site (S) Scripting (S) ...

a XSS sem nedavejte :( je to stejne k nicemu takova useless chybka na webech kterou trpi asi 99% webu ale spoustu z nich stejne nijak nevyuzijete krom ukojeni ega

----------
hack or be hacked :-) .. by greyhats
(odpovědět)
c0d3r18.12.2015 9:42
re: Další (zne?)užitelné XXS (Novinky.cz jsou bonu#
smutne, ze si lidi neuvedomuji, jak muze mit XSS fatalni dopad na web :)
(odpovědět)
topkek | 86.49.172.*18.12.2015 15:26
re: Další (zne?)užitelné XXS (Novinky.cz jsou bonu#
ukaz mi na jednom z tech webu fatalni dopad prosim

----------
hack or be hacked :-) .. by greyhats
(odpovědět)
c0d3r19.12.2015 5:56
re: Další (zne?)užitelné XXS (Novinky.cz jsou bonu#
Neni problem ukázat že XSS je závažná chyba.
Mimochodem nějak sem nepochopil hned první komentář ale to bude asi tim že jsem před chvilkou vstával.
Každopádne XXS není útok proti samotnému webu spíš jako proti jejím uživatelům,dobře udělany XXS backdoor na webovem serveru s perzistentní XXS je docela dost fatalní nemyslíš ? Nechci tu opět nic nafukovat ale kdo XXS rozumí mohl by s tím nadělat pěkné kousky.

Mimochodem pomocí XXS sem během 15 minut získal administrátorský přístup zrovna na karaoketexty.cz ale nebude to určitě jediný web kde by to bylo možné.
(odpovědět)
Networkitty | E-mail19.12.2015 14:08
re: Další (zne?)užitelné XXS (Novinky.cz jsou bonu#
cca 90% prispevku na XSS tady v bugtrack je XSS ve vyhledavani apod ...persistentni XSS ano .. tam je to o neco vaznejsi to uznavam (nemluve o tom ze musis cekat az to nekdo exec.ne ten Tvuj kod a jeste to musi byt uzivatel s pravy ktera potrebujes -> admin) ale ok, zkousejte to dal drzim palec (no offene)


----------
hack or be hacked :-) .. by greyhats
(odpovědět)
c0d3r21.12.2015 6:36
re: Další (zne?)užitelné XXS (Novinky.cz jsou bonu#
Děkuju za feedback,uznávám že non-perzistentní XSS není tak závažné jako jeho perzistentní kamarád,ale musíš uznat že kdyby ti někdo poslal odkaz na "článek" na novinky.cz tak by to nezkušenému oku klidně mohlo uniknout a mohl by se spustit útočný kód.

PS:Jak jsem psal je to útok proti uživatelům tak musíš počítat s tim že musíš čekat než tvoje oběť nějak kód executne.
(odpovědět)
Netkitty | 195.113.182.*21.12.2015 11:05
re: Další (zne?)užitelné XXS (Novinky.cz jsou bonu#
Nejsem eště tak zdatný jako jiní tady :)
(odpovědět)
Networkitty | E-mail19.12.2015 14:13
re: Další (zne?)užitelné XXS (Novinky.cz jsou bonu#
edit:Aha až teď sem si všiml že všude píšu XXS,omlouvám se moje chyba.
(odpovědět)
Networkitty | E-mail19.12.2015 14:22
re: Další (zne?)užitelné XXS (Novinky.cz jsou bonu#
Mimochodem, jak jste na tom s tema novinkama, nasli jste to nekdo ? Koukam do toho asi pul hodky a stale se mi bohuzel nedari :)
(odpovědět)
topkek | 86.49.172.*21.12.2015 12:17
re: Další (zne?)užitelné XXS (Novinky.cz jsou bonu#
Je to normální XSS ve vyhledavacím formuláři.
Pokud chceš pomoct tak [link]
/join Firebug
(odpovědět)
Networkitty | E-mail21.12.2015 15:24
re: Další (zne?)užitelné XXS (Novinky.cz jsou bonu#
neda se tam prihlasit
(odpovědět)
qart | 193.200.150.*22.12.2015 20:10
re: Další (zne?)užitelné XXS (Novinky.cz jsou bonu#
Pokud máte zájem tak ta místnost existuje právě teď.
(odpovědět)
Networkitty | E-mail24.12.2015 19:47
re: Další (zne?)užitelné XXS (Novinky.cz jsou bonu#
opet se neda prihlasit. asi jsem vas zase nezastihl. neda se to vyresit jinak? treba ze byste tam zustal prihlaseny dele?
(odpovědět)
qart | 193.200.150.*26.12.2015 21:34
re: Další (zne?)užitelné XXS (Novinky.cz jsou bonu#
i non-perzistentní xss je silná to věc, stačí na daném webu dát link např. do fora na loginpage a změnit jí action, nebo si pustit js keylogger přes zaslání soukromou poštou - ve chvíli kdy je web celý dynamický v js tak vydrží běžet nepříjemně dlouho atd...
(odpovědět)
29.12.2015 16:47
re: Další (zne?)užitelné XXS (Novinky.cz jsou bonu#
IRC je nejlepší cesta jak na to :)
popř. mě kontaktujte na email cremace@seznam.cz
(odpovědět)
Netkitty | 176.12.115.*7.1.2016 17:38
re: Další (zne?)užitelné XXS (Novinky.cz jsou bonu#
Jak tě máme zastihnout na IRC když tam nikdy nejseš?
(odpovědět)
Sobik | 176.10.104.*8.1.2016 17:24
re: Další (zne?)užitelné XXS (Novinky.cz jsou bonu#
EDIT:XSS NA novinky.cz bylo z největší pravděpodobností opraveno
(odpovědět)
Netkitty | 176.12.115.*8.1.2016 15:13

Zpět
 
 
 

 
BBCode