-
Posts
531 -
Joined
-
Last visited
-
Days Won
14
Posts posted by SilenTx0
-
-
Vulnerabilitatea a fost duplicata:(.
Video Poc:
-
XSS passive ?
Da. Dupa cum am spus, functiona cu aproape orice dar in video am folosit un vector care necesita interactiunea utilizatorului pentru a intelege cei de la Yahoo unde este vulnerabilitatea (se prind cam greu).
-
Sa faci si tu un update la post si sa ne spui daca te baga macar in HoF sau iti dau ceva.
Good job though.
Sunt deja in HOF
.
-
Functiona cu aproape orice vector si pe majoritatea subdomeniilor de genul **.yahoo.com-
1
-
-
SilenTx0 Tu esti unul din Anonymous ! OMFG apreciaza ce vezi nu ne da lectii ! NU E Facut de mine dar nu cred ca trebuie sa suferi acum ca domne sa le arat eu cine sunt ! of ce sa ne mai facem acum
!
Ce sa apreciez? Un tutorial de doi bani scris gresit?
// Pai trebuia sa precizezi de la inceput ca nu e facut de tine.
-
omg ! Crezi ca imi era greu sa pun sursa ? NU .. nu am specificat ca e facut de mine dar nici nu l-am luat de pe un site anume .. mi sa parut mai interesant si m-am gandit sa il pun .. chiar atat de mult gresi ca nu specificai sursa ? ffs
Cand nu prezinti sursa se subintelege ca e facut de tine.
-
- Java != JavascriptCe poate cauza?Daca atacatorul creeaza un link special si il trimite victimei,iar victima acceseaza link-ul,acel codJava trimite cookie-ul victimei
- Doar prostii ce ai scris tu aici.Sunt doua tipuri de XSS,unul din ele fiind injectare scrit-urilor iar celelalt fiind atacul XSS general.Un atacCross Site Scripting este normal folosit pentru a executa script-uri java pentru a fura identitatea/contul cuiva
iar uneori este folosit pentru alterarea temporara a paginilor.Odata ce a fost injectat un script pagina este
alterata permanent.Este important a nu confunda cele doua metode de XSS, amandoua metodele sunt la fel
de periculoase si este important sa-ti protejezi soft-ul/site-ul de ele.
- 99% din persoanele care au impresia ca stiu XSS rezuma exploatarea acestei vulnerabilitati la furtul cookie-urilor si alte prostii asemanatoare. Prin acest tip de vulnerabilitate se pot face multe altele...>>CE POT FACE ATACATORI CU XSS<<
Prezinta-ne cateva argumente pentru cele afirmate in legatura cu browserul.RECOMANDATA ESTE SA FOLOSITI MozillaFirefox ca si browser nu Internet Explorer,Netscape,Opera etc.
- ai impresia ca toti care exploateaza xss sunt script kiddies? haha=))))Acesti atacatori "scripts kiddies"De ce tot faceti tutoriale daca nici voi nu intelegeti unele lucruri si nu stapaniti ce incercati sa invatati pe altii?
-
1
-
-
Ar fi tare sa mai functioneze
eu abia acum am dat de acest "tutorial"
Felicitari!
03-04-2013, 06:45 PM ...asa dupa parerea ta, mai merge? Daca intrai macar pe linkul ala ai fi vazut ca nu mai merge...dar pentru +1 ce mai conteaza ca merge sau nu?
-
Si asa fac companiile bani de pe urma unor persoane mai putin inteligente...
-
Foarte tare chestia... insa... de ce nu transforma < si " in < si " daca bagi <img alt ?
Pentru ca pe atunci nu aveau pus htmlentities, acum au rezolvat vulnerabilitatea.
-
Eu am open redirect pe care mi-au dat "won't fix", merge si acum dupa 1 luna cu acelasi token la toata lumea
Le-am cerut public disclosure
Inca nu au raspuns nimic
Eu am un xss in flickr pe care am primit duplicate insa nici acum. dupa doua luni jumatate nu este reparat. Se misca foarte greu si nici nu iau raporturile in ordinea in care au fost raportate...
-
Sa postezi, sunt curios sa vad cat iti dau.
Am sa postez, dar cred ca va dura ceva. Se misca foarte greu cei de la Yahoo. Astept de o luna si ceva raspuns pe vreo 12 buguri...
-
Felicitari , ai scos banii pe anu asta
.
Posibil...mai am 20 buguri pe care astept raspuns.
-
Ai incercat sa te conectezi la baza de date ?
N-am incercat dar nu cred ca permite remote connection.
-
-
No user-interaction: <img alt=" autofocus=true onfocus=alert(1) a="">
De ce am folosit acest vector? Pentru ca, daca puneam <img src=x onerror=alert(1)> imi stergea onerror=alert(1) (sau orice event handler as fi folosit). Dupa mai multe incercari de a face bypass, am observat ca imi lasa atributul alt si src. Prin src n-am reusit sa fac nimic asa ca m-am folosit de atributul alt. Am vazut ca daca eu pun space in interiorul valorii atributului alt, automat se pun ghilimele unde gaseste primul space. Acum, in sursa arata cam asa:
<input class="uh-srch-box" autofocus=true onfocus=alert(1) value="<img alt=" name="s">
De ce autofocus=true? Daca as fi pus doar autofocus, mi s-ar fi adaugat ="" pentru ca scriptul verifica daca toate atributele au o valoare. In cazul in care un atribut nu avea o valoare, el adauga de la sine ="" iar vectorul meu nu ar mai functionat(fara interactiunea userului).
-
1
-
-
Bine ai venit.
Pai depinde pe ce ramura vrei sa mergi...IT-ul este un domeniu vast.
-
Greetings ,
Thank you for contacting One.com.
As per your inquiry, your order for the domain has been cancelled at our end. Upon Investigation it was found that the customer information that you provided were invalid. If you are still interested in registering with us we need you to send us a copy of any of these information for identification purpose:
Passport
Driver license
Ce sa fac?: ( ca nu am pasaport dau dala
Cumpara! Din moment ce ai incercat sa iei un domeniu gratis, e clar ca nu-i vorba de o afacere serioasa. Lasa dracu tigarile doua zile, iti iei domeniu + host pe un an si aia e.
-
Da ! ai mare dreptate , dar nici acel om care a facut site nu il intereseaza de tine
De ce vorbesti in numele altora?
On: La un challenge trebuie sa pui si dovada ca tu ai reusit. Asta nu este un challenge, este o "cerere". Voiai acces acolo dar esti prea prost sa iei singur asa ca te-ai gandit sa postezi la challenge-uri, asa-i?
-
Mai faci multe topicuri cu rahatul tau de site?
-
Niste prostii, sau cel putin la XSS ca restul n-am mai ctit.
De ce ai pus "><script>alert(2)</script> si nu <script>alert(2)</script> ?
La "Cate tipuri de XSS-uri exista?" n-are rost sa mai comentez ca e o varza totala. Tot ce ai scris tu acolo e gresit.
Ai dat exemplu de un cod vulnerabil in care se cerea parametru vulnerabil(chiar asa se numea) iar tu ai folosit parametrul rstforums. Normal ca nu va functiona.
Mi-e frica sa citesc in continuare. Propun ca topicul sa fie mutat la cos pentru ca ce e scris aici sunt numai prostii.
ps: lasa-te de facut tutoriale pana inveti.
-
ce nebuni ?!
nebunii nu nebuni.
-
@sleed Php se invata intr-un an? Buna gluma:)
-
Off , nu e si scriptu de xss:( .
Si nici nu va fi. Partea de XSS e inclusa in alt proiect mult mai mare.
[XSS]Flickr.com [2]
in XSS (cross site scripting)
Posted
Duplicata...![:(](https://rstforums.com/forum/uploads/emoticons/default_sad.png)
Video poc: