[Help] XSS

Обсуждение в разделе «Веб-уязвимости», начал(-а) C17H19NO3, 12.05.2017.

  1. C17H19NO3

    C17H19NO3 New Member

    Регистрация:
    12.05.2017
    Сообщения:
    2
    Одобрения:
    0
    Репутация:
    0
    Здравствуйте
    На сайте имеется XSS уязвимость (пасивная), алерт проходит в адресной строке.
    Но на этом я и остановился. Как её использовать?
    Сформировать ссылку, послать её админу (которого контакт ещё нужно найти), вытянуть куки с админки (локация админки известна)? Но не факт что в контактных данных будет админ с активной сессией админки.
    Подскажите, куда двигаться дальше.
    Спасибо
     
  2. bmwx5_developer

    bmwx5_developer New Member

    Регистрация:
    19.05.2017
    Сообщения:
    2
    Одобрения:
    0
    Репутация:
    0
    CMS известна, правильно?
    Можно составить ajax запрос, который выполнит добавление пользователя, с правами администратора. Естественно это должно быть выполнено под сессией админа
     
  3. C17H19NO3

    C17H19NO3 New Member

    Регистрация:
    12.05.2017
    Сообщения:
    2
    Одобрения:
    0
    Репутация:
    0
    Скорее всего самопис
    Но 2ip нашел почему-то признаки wp
    Вот robots.txt

    Disallow: /blocks/
    Disallow: /bs/
    Disallow: /classes/
    Disallow: /data/
    Disallow: /files/
    Disallow: /flags/
    Disallow: /fonts/
    Disallow: /generator/
    Disallow: /info/
    Disallow: /Scripts/
    Disallow: /server/
    Disallow: /tmp/
    Disallow: /viev/
    Disallow: /web2/
     
Загрузка...
Похожие темы
  1. Ответы:
    1
    Просмотры:
    541
  2. Ответы:
    0
    Просмотры:
    566
  3. Ответы:
    4
    Просмотры:
    1 395