:: vBspiders Professional Network ::

:: vBspiders Professional Network :: (http://www.vbspiders.com/vb/index.php)
-   جـــ'ابات العناكــ'ب (http://www.vbspiders.com/vb/forumdisplay.php?f=343)
-   -   [استفسار] xss (http://www.vbspiders.com/vb/showthread.php?t=67586)

ترنيدو 05-13-2013 02:33 AM
xss
 
السلام عليكم .. كيف حالكم
معي موقع مصاب بثغره xss اخر الرابط على هالشكل sendmail/mailform.php
طبعا فيه مربع ترسل فيه اقتراحات او شكاوي
جربت الكود الي وضعه الاخ سايبر مافيا عشان اعلق اندكس ولا تعلق الاندكس لا على المجلد ولا الصفحه ال php ولا له اثر بالموقع شفرت الكود url برضو ما ضبط وش الحل
شوفو هذا كود الاخ سايبر
******************.********Element.innerHTML="<h1> good security Hacked by me</h1>";</script>
وهذا الكود مشفر
%0A%20%3Cscript%3E********.********Element.innerHT ML%3D%22%3Ch1%3Egood%20security%20Hacked%20by%20me %3C%2Fh1%3E%22%3B%3C%2Fscript%3E%20

ايش الحل ابي ارفع اندكس او اسرق الكوكيز او اخترق الموقع باي شكل
جزاكم الله خير

MaFia 05-13-2013 02:48 AM
رد: xss
 
وعليكم السلام ورحمة الله وبركاته
احتمال المدخلات والمخرجات

مصابه بالثغره لكن المبرمج عامل فلترة xss_sec
ومانع اكواد من الكود تبعي فبتالي لن تعمل


بعد تطبيقك للكود اعرض مصدر الصفحه وراح تجد الكود كامل اتاكد منه

:)

الكود تم تجربته عل موقع كان مصاب ايضا
http://www.vbspiders.com/vb/t65367.html

ترنيدو 05-13-2013 03:03 AM
رد: xss
 
شكرا اخي على ردك
استعرضت السورس قبل الارسال وبعد الارسال وما لقيت للكود اي اثر !!

MaFia 05-13-2013 12:01 PM
رد: xss
 
شوف
ثغرات Xss يوجد منها نوعين

نوع بيتم ادارج كود الجافا سكريبت بجانب رابط الموقع : في البارميتر

والنوع التاني بيكون مصاب في الاكشن

كا صندوق اضافة رد , او مربع البحث , وهذا بيتم التحقق من وجود الثغره

كود PHP:
s c r i p t >a l e r t" XSS " ) < / s c r i p t
احذف الفراغات

لو طبعت كلمة

xss
في نافذه الموقع في هذه الحاله الموقع مصاب

هل تأكد ان الموقع مصاب ؟

ارسل الموقع المصاب على الخاص

ترنيدو 05-13-2013 05:36 PM
رد: xss
 
جربت اخي ما طبع وجربت كلمات وارقام كثيره
راح انجن البرنامج يقولي مصاب بس لما اتحقق يطلع لي سليم

mido868 05-13-2013 10:32 PM
رد: xss
 
اقتباس:
المشاركة الأصلية كتبت بواسطة Cyber Mafia (المشاركة 462551)
شوف
ثغرات Xss يوجد منها نوعين

نوع بيتم ادارج كود الجافا سكريبت بجانب رابط الموقع : في البارميتر

والنوع التاني بيكون مصاب في الاكشن

كا صندوق اضافة رد , او مربع البحث , وهذا بيتم التحقق من وجود الثغره

كود PHP:
s c r i p t >a l e r t" XSS " ) < / s c r i p t
احذف الفراغات

لو طبعت كلمة

xss
في نافذه الموقع في هذه الحاله الموقع مصاب

هل تأكد ان الموقع مصاب ؟

ارسل الموقع المصاب على الخاص
اتمنى نشوف شرح قريب بالصور وتطبيق على موقع ،بعد الامتحانات إن شاء الله ،لاتنسى :wink::wink:

MaFia 05-14-2013 12:51 PM
رد: xss
 
لو بتفحص ببرنامج فهوة راح يجبلك النوع الاول وهو ادارج كود جافا بجانب الموقع وارساله للمدير وسحب الكوكيز

اما لو جربت كود التحقق ف الثغره غير موجوده من الاساس


الساعة الآن 06:47 AM


[ vBspiders.Com Network ]