Xss для новичков

Обсуждение в разделе «Избранное», начал(-а) Micr0b, 4.06.2006.

  1. depo

    depo New Member

    Регистрация:
    2.01.2016
    Сообщения:
    7
    Одобрения:
    1
    Репутация:
    0
    у меня все равно никак не получается((
     
  2. GluckWorm

    GluckWorm New Member

    Регистрация:
    20.02.2016
    Сообщения:
    1
    Одобрения:
    0
    Репутация:
    0
    Подскажите, пожалуйста, как можно это использовать.
    После ввода в форму поиска запись '';!--"<fuck>=&{()} выдается только часть до амперсанда '';!--"<fuck>=
    После & вообще все символы "съедаются".
    Спасибо!
     
  3. flixflix

    flixflix New Member

    Регистрация:
    21.02.2016
    Сообщения:
    1
    Одобрения:
    0
    Репутация:
    0
    Не работает sql connect
     
  4. newmysql

    newmysql New Member

    Регистрация:
    18.03.2016
    Сообщения:
    2
    Одобрения:
    0
    Репутация:
    0
    Всем привет. объясните новичку..
    document.cookie содерджит в себе сохраненные данные авторизации пользователя на текущей странице, где он находится. верно?
     
  5. t0ma5

    t0ma5 Level 8

    Регистрация:
    10.02.2012
    Сообщения:
    549
    Одобрения:
    347
    Репутация:
    52
    cookie содержит в себе куки :)
    https://ru.wikipedia.org/wiki/HTTP_cookie
    в ряде случаев там есть сессия соединения так сказать, иногда и какие то авторизационные данные юзера есть, логин например
    короче юзер авторизуется, получает сессию в куку, ты её спираешь и заходишь под его учеткой, это в идеале
     
    Это одобряет yarbabin.
  6. newmysql

    newmysql New Member

    Регистрация:
    18.03.2016
    Сообщения:
    2
    Одобрения:
    0
    Репутация:
    0
    Я не спрашиваю о том, что такое cookie.
    Я спрашиваю о том, что именно сохраняется в переменной document.cookie - куки пользователя с данного сайта, на котором он находится или все куки сохраненные у пользователя от этого браузера?
     
  7. DarkCaT

    DarkCaT New Member

    Регистрация:
    14.03.2016
    Сообщения:
    28
    Одобрения:
    8
    Репутация:
    11
    Естественно только куки данного сайта.
     
  8. bazaWT

    bazaWT Member

    Регистрация:
    19.03.2016
    Сообщения:
    42
    Одобрения:
    0
    Репутация:
    1
    А скрипт отсылает на хостинг все куки с данного сайта ? у меня например в опере есть логин и пароль в хеше . А скрипт присылает только часть кук без , как можно решить это ?
     
  9. DarkCaT

    DarkCaT New Member

    Регистрация:
    14.03.2016
    Сообщения:
    28
    Одобрения:
    8
    Репутация:
    11
    Что значит в опере есть ?
     
  10. bazaWT

    bazaWT Member

    Регистрация:
    19.03.2016
    Сообщения:
    42
    Одобрения:
    0
    Репутация:
    1
    Тоесть когда я захожу на сайт , опера сохраняет в моих куках хеш логина и пароля, если получить куки через хss ,там нету большой части кук
     
  11. cyrhaller

    cyrhaller New Member

    Регистрация:
    18.03.2016
    Сообщения:
    5
    Одобрения:
    2
    Репутация:
    6
    Посмотрите, какие флаги установлены на куках, httpOnly?
     
  12. bazaWT

    bazaWT Member

    Регистрация:
    19.03.2016
    Сообщения:
    42
    Одобрения:
    0
    Репутация:
    1
    на кукикисах сесисии , логине и пароле httpOnly . Обойти это невозможно ?
     
    #52 bazaWT, 24.03.2016
    В последний раз редактировалось: 24.03.2016
  13. cyrhaller

    cyrhaller New Member

    Регистрация:
    18.03.2016
    Сообщения:
    5
    Одобрения:
    2
    Репутация:
    6
    с помощью phpinfo какого-нибудь
     
  14. pw0ned

    pw0ned Member

    Регистрация:
    8.01.2016
    Сообщения:
    118
    Одобрения:
    47
    Репутация:
    14
    TRACE-запрос, не ?
     
  15. yarbabin

    yarbabin HACKIN YO KUT

    Регистрация:
    21.11.2007
    Сообщения:
    1 675
    Одобрения:
    864
    Репутация:
    288
    уже не получится, давно убрали
     
    _________________________
  16. Speis777

    Speis777 New Member

    Регистрация:
    19.08.2016
    Сообщения:
    1
    Одобрения:
    0
    Репутация:
    0
    эХ ЕСЛИ БЫ ВЫ ЕЩЕ И ВИДЕО ВЫЛОЖИЛИ,я бы вас расцеловал))
     
  17. pw0ned

    pw0ned Member

    Регистрация:
    8.01.2016
    Сообщения:
    118
    Одобрения:
    47
    Репутация:
    14
    Только вот заходил он последний раз 2013 года. Не думаю что увидит твоё сообщение
     
    #57 pw0ned, 29.08.2016
    В последний раз редактировалось: 30.08.2016
  18. ChocolatePuma

    ChocolatePuma New Member

    Регистрация:
    25.09.2016
    Сообщения:
    12
    Одобрения:
    0
    Репутация:
    0
    Как обойти фильтр?

    [​IMG]
     
  19. ZodiaX

    ZodiaX Level 8

    Регистрация:
    7.05.2009
    Сообщения:
    491
    Одобрения:
    249
    Репутация:
    35
    смотри bypass htmlspecialchars, вариантов в принципе не мало.
     
  20. pastword

    pastword New Member

    Регистрация:
    19.02.2017
    Сообщения:
    18
    Одобрения:
    0
    Репутация:
    0
    есть форум с XSS в коментах написал <img src="" onerror=location="http://google.com" />, но редирект происходит только после какого нибудь действия ниже ХСС кода (добавление нового комента например) как сделать так чтобы редирект происходил после загрузки страницы?
     
Загрузка...