Xss для новичков

Discussion in 'Избранное' started by Micr0b, 4 Jun 2006.

  1. depo

    depo New Member

    Joined:
    2 Jan 2016
    Messages:
    7
    Likes Received:
    1
    Reputations:
    0
    у меня все равно никак не получается((
     
  2. GluckWorm

    GluckWorm New Member

    Joined:
    20 Feb 2016
    Messages:
    1
    Likes Received:
    0
    Reputations:
    0
    Подскажите, пожалуйста, как можно это использовать.
    После ввода в форму поиска запись '';!--"<fuck>=&{()} выдается только часть до амперсанда '';!--"<fuck>=
    После & вообще все символы "съедаются".
    Спасибо!
     
  3. flixflix

    flixflix New Member

    Joined:
    21 Feb 2016
    Messages:
    1
    Likes Received:
    0
    Reputations:
    0
    Не работает sql connect
     
  4. newmysql

    newmysql New Member

    Joined:
    18 Mar 2016
    Messages:
    2
    Likes Received:
    0
    Reputations:
    0
    Всем привет. объясните новичку..
    document.cookie содерджит в себе сохраненные данные авторизации пользователя на текущей странице, где он находится. верно?
     
  5. t0ma5

    t0ma5 Reservists Of Antichat

    Joined:
    10 Feb 2012
    Messages:
    761
    Likes Received:
    688
    Reputations:
    68
    cookie содержит в себе куки :)
    https://ru.wikipedia.org/wiki/HTTP_cookie
    в ряде случаев там есть сессия соединения так сказать, иногда и какие то авторизационные данные юзера есть, логин например
    короче юзер авторизуется, получает сессию в куку, ты её спираешь и заходишь под его учеткой, это в идеале
     
    _________________________
    yarbabin likes this.
  6. newmysql

    newmysql New Member

    Joined:
    18 Mar 2016
    Messages:
    2
    Likes Received:
    0
    Reputations:
    0
    Я не спрашиваю о том, что такое cookie.
    Я спрашиваю о том, что именно сохраняется в переменной document.cookie - куки пользователя с данного сайта, на котором он находится или все куки сохраненные у пользователя от этого браузера?
     
  7. DarkCaT

    DarkCaT ~Some Member~

    Joined:
    14 Mar 2016
    Messages:
    29
    Likes Received:
    11
    Reputations:
    11
    Естественно только куки данного сайта.
     
  8. bazaWT

    bazaWT New Member

    Joined:
    19 Mar 2016
    Messages:
    42
    Likes Received:
    0
    Reputations:
    1
    А скрипт отсылает на хостинг все куки с данного сайта ? у меня например в опере есть логин и пароль в хеше . А скрипт присылает только часть кук без , как можно решить это ?
     
  9. DarkCaT

    DarkCaT ~Some Member~

    Joined:
    14 Mar 2016
    Messages:
    29
    Likes Received:
    11
    Reputations:
    11
    Что значит в опере есть ?
     
  10. bazaWT

    bazaWT New Member

    Joined:
    19 Mar 2016
    Messages:
    42
    Likes Received:
    0
    Reputations:
    1
    Тоесть когда я захожу на сайт , опера сохраняет в моих куках хеш логина и пароля, если получить куки через хss ,там нету большой части кук
     
  11. cyrhaller

    cyrhaller New Member

    Joined:
    18 Mar 2016
    Messages:
    5
    Likes Received:
    2
    Reputations:
    6
    Посмотрите, какие флаги установлены на куках, httpOnly?
     
  12. bazaWT

    bazaWT New Member

    Joined:
    19 Mar 2016
    Messages:
    42
    Likes Received:
    0
    Reputations:
    1
    на кукикисах сесисии , логине и пароле httpOnly . Обойти это невозможно ?
     
    #52 bazaWT, 24 Mar 2016
    Last edited: 24 Mar 2016
  13. cyrhaller

    cyrhaller New Member

    Joined:
    18 Mar 2016
    Messages:
    5
    Likes Received:
    2
    Reputations:
    6
    с помощью phpinfo какого-нибудь
     
  14. pw0ned

    pw0ned Member

    Joined:
    8 Jan 2016
    Messages:
    122
    Likes Received:
    48
    Reputations:
    14
    TRACE-запрос, не ?
     
  15. yarbabin

    yarbabin HACKIN YO KUT

    Joined:
    21 Nov 2007
    Messages:
    1,681
    Likes Received:
    884
    Reputations:
    363
    уже не получится, давно убрали
     
    _________________________
  16. Speis777

    Speis777 New Member

    Joined:
    19 Aug 2016
    Messages:
    1
    Likes Received:
    0
    Reputations:
    0
    эХ ЕСЛИ БЫ ВЫ ЕЩЕ И ВИДЕО ВЫЛОЖИЛИ,я бы вас расцеловал))
     
  17. pw0ned

    pw0ned Member

    Joined:
    8 Jan 2016
    Messages:
    122
    Likes Received:
    48
    Reputations:
    14
    Только вот заходил он последний раз 2013 года. Не думаю что увидит твоё сообщение
     
    #57 pw0ned, 29 Aug 2016
    Last edited: 30 Aug 2016
  18. ChocolatePuma

    ChocolatePuma New Member

    Joined:
    25 Sep 2016
    Messages:
    12
    Likes Received:
    0
    Reputations:
    0
    Как обойти фильтр?

    [​IMG]
     
  19. ZodiaX

    ZodiaX Reservists Of Antichat

    Joined:
    7 May 2009
    Messages:
    521
    Likes Received:
    281
    Reputations:
    37
    смотри bypass htmlspecialchars, вариантов в принципе не мало.
     
  20. pastword

    pastword New Member

    Joined:
    19 Feb 2017
    Messages:
    18
    Likes Received:
    0
    Reputations:
    0
    есть форум с XSS в коментах написал <img src="" onerror=location="http://google.com" />, но редирект происходит только после какого нибудь действия ниже ХСС кода (добавление нового комента например) как сделать так чтобы редирект происходил после загрузки страницы?