фреймворк для эксплуатации xss

Discussion in 'Болталка' started by x_Lex, 31 May 2015.

  1. x_Lex

    x_Lex Elder - Старейшина

    Joined:
    8 Jan 2005
    Messages:
    186
    Likes Received:
    118
    Reputations:
    171
    посоветуйте хороший фреймворк для эксплуатации xss?
    кроме beef, и китайских xssplatform,phpMyXSS
     
    #1 x_Lex, 31 May 2015
    Last edited: 1 Jun 2015
  2. noxjoker

    noxjoker Member

    Joined:
    7 Aug 2009
    Messages:
    198
    Likes Received:
    23
    Reputations:
    0
    Xss мертво (
     
  3. M_script

    M_script Members of Antichat

    Joined:
    4 Nov 2004
    Messages:
    2,671
    Likes Received:
    1,269
    Reputations:
    1,557
    Почему? Браузеры больше не поддерживают JS?
     
    frank, BigBear and yarbabin like this.
  4. x_Lex

    x_Lex Elder - Старейшина

    Joined:
    8 Jan 2005
    Messages:
    186
    Likes Received:
    118
    Reputations:
    171
    приколист, разве вопрос был "жив ли xss" ?
     
  5. YaBtr

    YaBtr Members of Antichat

    Joined:
    30 May 2012
    Messages:
    601
    Likes Received:
    350
    Reputations:
    652
    Кого-то вы задели за живое...
     
    x_Lex likes this.
  6. noxjoker

    noxjoker Member

    Joined:
    7 Aug 2009
    Messages:
    198
    Likes Received:
    23
    Reputations:
    0
    Уже браузеры выкупают где хсс где нет. Я это описывал в каком-то посте. Советую проверить на новом хроме, опере, мазиле.
    Нету возможности вставлять код через ивенты как это все делали раньше.
     
  7. yarbabin

    yarbabin HACKIN YO KUT

    Joined:
    21 Nov 2007
    Messages:
    1,682
    Likes Received:
    889
    Reputations:
    363
    обычные <script>alert()</script> да, но есть еще несколько типов xss, которые аудитор не может отловить.
     
    _________________________
  8. noxjoker

    noxjoker Member

    Joined:
    7 Aug 2009
    Messages:
    198
    Likes Received:
    23
    Reputations:
    0
    Например? Желательно на таком шаблоне onload='hide js'
     
  9. yarbabin

    yarbabin HACKIN YO KUT

    Joined:
    21 Nov 2007
    Messages:
    1,682
    Likes Received:
    889
    Reputations:
    363
    Stored, Dom based, и инъекты в сам JS, типа
    <script> param = "INJECT HERE"; </script>
    т. е. например:
    Code:
    http://www.eurosport.ru/_search_/search?q=lol%27;alert%28/XSS/%29;//&client=www-eurosport-ru&proxystylesheet=www-eurosport-ru&site=www-eurosport-ru&access=p&output=xml_no_dtd
     
    _________________________
  10. noxjoker

    noxjoker Member

    Joined:
    7 Aug 2009
    Messages:
    198
    Likes Received:
    23
    Reputations:
    0
    Да это будет работать но низкая вероятность найти такой сайт, раньше чуть ли не на каждом сайте можно было найти хсс сейчас же все очень плохо. Поэтому хсс мертв.
     
  11. assmaday

    assmaday New Member

    Joined:
    3 Feb 2013
    Messages:
    14
    Likes Received:
    1
    Reputations:
    0
  12. x_Lex

    x_Lex Elder - Старейшина

    Joined:
    8 Jan 2005
    Messages:
    186
    Likes Received:
    118
    Reputations:
    171
    да нет же ;) жив еще! ты правильно подметил не так как раньше но все еще актуально ;)
    глянь на статистику http://www.cvedetails.com/vulnerabilities-by-types.php
    и сюда тоже https://forum.antichat.ru/threads/35802/

    assmaday спасибо за ссыклу
     
  13. M_script

    M_script Members of Antichat

    Joined:
    4 Nov 2004
    Messages:
    2,671
    Likes Received:
    1,269
    Reputations:
    1,557
    Это касается только пассивных (reflected) XSS.
     
Loading...