Security Lab



Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Войти  
Форум » Взлом и защита » Уязвимости
Страницы: 1
RSS
XSS, Описание
 
#1
Это нравится:0Да/0Нет
29.08.2005 11:51:01
Подскажите какие имеются виды XSS атак и что значит
stored XSS и reflected XSS?
Извините за ламерство :oops:  :oops:  :oops:
 
 
 
#2
Это нравится:0Да/0Нет
30.08.2005 01:15:19
Переведи и узнаешь  :funny:
 
 
 
#3
Это нравится:0Да/0Нет
30.08.2005 09:36:08
Хранимый вариант - xss в форуме. Заходим, оставляем сообщение, а потом у всех этот xss отрабатывает.
Отраженный вариант - когда xss происходит в том же браузере. Т.е. тебе дают ссылку, ты по ней кликаешь. Отраженный может вызываться с помощью хранимого.
 
 
 
#4
Это нравится:0Да/0Нет
31.08.2005 06:27:03
Цитата
Сергей Гордейчик пишет:
Хранимый вариант - xss в форуме. Заходим, оставляем сообщение, а потом у всех этот xss отрабатывает.
Отраженный вариант - когда xss происходит в том же браузере. Т.е. тебе дают ссылку, ты по ней кликаешь. Отраженный может вызываться с помощью хранимого.
Пасиб огромное!
:)
 
 
 
#5
Это нравится:0Да/0Нет
22.10.2005 21:28:23
Ну а для совсем ламеров  :cry: Как выглядит ссылка с xss
 
 
 
#6
Это нравится:0Да/0Нет
22.10.2005 21:41:00
ну а совсем полным ламакерам надо пройти сюда
 
 
 
#7
Это нравится:0Да/0Нет
22.10.2005 23:04:50
толи я совсем ламер..... толи ........

но ИМХО http:\\<home>\index.php?<script>alert('fff')<\script>

должно выдовать страницу и сообщение

Или нет?
 
 
 
#8
Это нравится:0Да/0Нет
24.10.2005 17:21:39
Vladimir Panchuk, what is index.php? Я тебе такой index.php написать могу, что ты меня потом убить захочешь с извращениями.
Кстати, IMHO, отраженный вариант бесполезен полностью. Если XSS юзается против админов всяких форумов, то не попадется же админ, который пройдет по ссылке, которую ему дали.
 
 
 
#9
Это нравится:0Да/0Нет
25.10.2005 00:39:10
Цитата
Bill Hates пишет:
Если XSS юзается против админов всяких форумов, то не попадется же админ, который пройдет по ссылке, которую ему дали.
ой, еще как попадется!  все дело в СИ ;-)
 
 
 
#10
Это нравится:0Да/0Нет
26.10.2005 13:37:46
Цитата
ой, еще как попадется! все дело в СИ ;-)
Ну, может, админ сайта vasyapupkin.ru и попадется, а вот на Народе или на Мейле и Рамблере, к примеру, таких не держут.
 
 
 
#11
Это нравится:0Да/0Нет
26.10.2005 15:13:09
гы.
если ты напишешь:

Цитата

зайдите пожалуйста сюда http://ya-super-puper-hacker.net/ с вкл. яваскриптом!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
и скажите что там.
то, думаю, тебя просто культурно пошлют.

а если немного подмаунтить думалку, то можно выцепить этого админа на каком нить форуме или в ньюсах ;-)

токо смысл заманивать этих админов кудато?
правда, если только ссылка не file://   :-))
 
 
 
#12
Это нравится:0Да/0Нет
26.10.2005 15:17:32
Ссылка может вести на вполне популярный ресрус, например тот же яндекс, который уязвим для XSS.
Пример. Втыкать на ссылке Nvidia. Остальные пофиксили.
 
 
 
#13
Это нравится:0Да/0Нет
26.10.2005 21:54:25
да уж
 
 
 
#14
Это нравится:0Да/0Нет
29.10.2005 16:26:28
Цитата
Bill Hates пишет:
Ну, может, админ сайта vasyapupkin.ru и попадется, а вот на Народе или на Мейле и Рамблере, к примеру, таких не держут.
Ну я  думаю что ежели ты даже и узнаешь все кукии админа на народе или на мейле, тебе это мало что даст....
 
 
 
#15
Это нравится:0Да/0Нет
31.10.2005 14:53:13
Exapmle of reflected XSS bug,  здесь:
http://www.hse.ru/forum/forum.php?op=SetLevel(%3Cscript%3Ealert('Hello!')%3C/script%3E)&op2=InForum(64)
Скрипт выводит ошибку и этим всё сказано
 
 
 
#16
Это нравится:0Да/0Нет
22.11.2005 00:19:33
Еще вопрос чем XSS отличается от CSS ??? И что вообще такое CSS ??
И как юзать CSS ??
 
 
 
#17
Это нравится:0Да/0Нет
22.11.2005 01:19:38
Цитата
И что вообще такое CSS ??
Cross Site Scripting

Цитата
Еще вопрос чем XSS отличается от CSS ???
неотличаются ничем, просто название XSS используется, чтобы не путали CSS с Cascading Style Sheets

Цитата
И как юзать CSS ??
http://www.securitylab.ru/contest/212115.php
 
 
 
#18
Это нравится:0Да/0Нет
22.11.2005 15:50:28
Ну стоит заметить что если имееться ввиду уязвимость то пишеться XSS.
А если ты межсайтовый скриптинг назовешь CSS, то тебя в большинстве случваев не поймут. Я бы не понял...
 
 
 
#19
Это нравится:0Да/0Нет
23.11.2005 17:09:46
Спасибо!Теперь более менее понятно! :)
 
 
 
Страницы: 1
Читают тему