XSS - widoczne dla wszystkich

[timpler]

Witam, bodajże dzisiaj poznałem wspaniały rodzaj ataku jakim jest XSS, jestem totalnym newbie w tym temacie ale umiem już nieco. Znam html'a, Javascrpita wcale (to największy minus, ale już podpatrzyłem pare ciekawych komend) no i znam php. Teraz pytanie: za każdym razem jak wstrzykuje swój kod np. owned to widoczne jest to tylko dla mnie i tylko do momentu przeładowania strony. W jaki sposób wstrzyknąc kod aby wykonywał sie na jakiś dłuższy okres czasu i dla wielu użytkowników? Da sie tak w XSS?? Chodzi mi o to, znalazłem jakąś prostą gre przeglądarkową, zarejestrowałem się wpisałem: java script: alert(document.cookie); i wyskoczyły mi moje dane. Teraz się wylogowuje i chce tak jakby założyć kod na editboxie Login, oczywiście ten editbox nie jest odporny na XSS, jak? Chodzim i o ten trik ze skryptem php zpisującym cookie. No i załóżmy mam już serwer, mam ten plik i teraz tylko wstawić JS'a do editboxa login ale tak aby działał dla wszystkich, da się tak?

 

[amex]

kod ktory wpisujesz w pasek adresu w zadnym wypadku nie jest to atak xss. Jak wpiszesz to w pole loginu to tez ci to nic nie da. Poczytaj troche o tym a moze zczaisz...

 

[timpler]

aha, ale jak czytałem wpisanie takiego np. taga <u> do pola tekstowego np. szukajki to juz atak XSS, ja robie chyba to samo tylko ze na innym polu tekstowym. Bo np. kiedy wpisze taki tag: <a href="www.google.pl>G</a> (o ile zmiesci sie w polu tekstowym) to jednak wyskakuje "przykro mi, nie ma uzytkownika G" no i G jest hiperłączem, czyli chyba to jest XSS? ale nie wiem jak mówie jestem świeżak i na razie mało o tym wiem...

 

[amex]

hiperlacze jeszcze o niczym nie znaczy... sprobuj z czyms w javascript, jesli skrypt zadziala tzn ze jest podatne na xss

 

[Magnefikko]

Żeby atak XSS był "trwały", dane muszą zostać zapisane na stronie. Mniej h4x10r0wania, więcej myślenia.

 

[unlock]

spróboj czy dziala <img wstaw jakis obrazek i z java sproboj koduj w char

 

[sinis]

spróboj czy dziala <img wstaw jakis obrazek i z java sproboj koduj w char[/b]

Po co? Przecież, skoro jest Ksy Sy Sy to może podrzucić kod jaki chce, a żeby ten kod coś zmienił na stałe musiałby lecieć do bazy, albo do pliku. Nic takiego się z nim jednak nie dzieje.

 

[timpler]

a no jednak nie, Javascritp właśnie jak widziałem to alert nie działał w większości przypadków czyli rzeczywiście chyba nie działa. Aaaa, źle zrozumiałem jeden artykuł gdzie właśnie ty Magneffiko pisałeś o szukaniu podatności. Kardynalny błąd. Macie jakiś link do strony gdzie sobie można poćwiczyć XSS'a? Szukałem prywatnych stronek z amatorskimi skryptami php ale jakos znaleźć nic dobrego nie moge. Co do utrwalenia, czyli co te zmiany muszą zapisane na stronie, a jak je zapisać? pozmieniać pliki strony? No bo pisałeś Magneffiko że wystarczy podesłać skrypt Javascript z np. odsyłaczem i już każdego będzie odsyłało. Źle to coś zrozumiałem najwidoczniej, jak to jest?

 

[widmo17]

// link nieaktywny

 

[timpler]

widmo, artykuł fajny podoba mi sie tylko szkoda że taki krótki, ok stronke już mam będe mógł się bawić. Aha masz drobny błąd w pierwszym skrypcie: zamiast
<script>alert(0);</script>

powinno być np. :
<script>java script: alert(0);</script> // dlaczego rodziela mi javascript na dwa wyrazy gdy pisze wyraźnie jeden?

 

[widmo17]

<script>java script: alert(0);</script>[/b]

Ośmielę się z Tobą nie zgodzić xD

 

[timpler]

Co do utrwalenia, czyli co te zmiany muszą zapisane na stronie, a jak je zapisać? pozmieniać pliki strony? No bo pisałeś Magneffiko że wystarczy podesłać skrypt Javascript z np. odsyłaczem i już każdego będzie odsyłało. Źle to coś zrozumiałem najwidoczniej, jak to jest?[/b]

To jak, jak to jest z tym zapisywaniem skryptu na stronie?

 

[FDJ]

Przykladowo znajdujesz luke w komentarzach dodajesz komentarz ktory sie zapisuje.

 

[timpler]

ale komentarze są filtrowane przeważnie, hmmm, ok to przynajmniej nakierowałeś mi myślenie, wezme sie za shoutboxy...

 

[unlock]

popatrz jeszcze w polach profilu jak da sie tam edytowac, jakies własny email, czy cos takiego wtedy kazdy kto odwiedzi twoj profil padnie ofiara

 

[timpler]

ooo, profile, o tym zapomniałem, dzięki... A jeszcze pytanie, każda strona którą ktoś owneduje robi to za pomocą XSS/CSRF?? Czy jest jeszcze jakaś metoda? wiem że można podmieniać indexa itd. ale mi chodzi o owneda z poziomu strony i jej pola edycyjnego. Czy w ten właśnie sposób się owneduje całe strony główne? I gdzie przeważnie (co) atakować XSS'em na stronie głównej aby np. podmienić indexa? Mało jest stron gdzie na stronie głównej można dodać newsa i jeszce system newsów nie filtruje...

 

[unlock]

nie tylko xss, np sql injection, blind sql injection, LFI i wiele innych ataków. Trwale slady mozna zostawic tylko wtedy gdy dane sa przekazywane do skryptu. xss nie podmienisz indeksu

 

[timpler]

ale poprzez Sql injection nie da rady zmienić działania skryptów a już tym bardziej podmienić indeksu, przecież to tylko baza danych. Co do LFI, to da sie tym zostawić trwałe ślady?

 

[Magnefikko]

ale poprzez Sql injection nie da rady zmienić działania skryptów[/b]

Powiedz to panu outfile xP

Co do LFI, to da sie tym zostawić trwałe ślady?[/b]

Czytaj więcej i staraj się czytać ze zrozumieniem. Przeczytałeś chociaż jakikolwiek tutorial o LFI? Wklepałeś to w google? Czy może uznałeś że garstka ludzików z HF jest ciekawsza od szukajki? xD

[łacha]LFI może pozwolić Ci na przykład znaleść plik z hasłem do FTP. Coś takiego jest na przykład w joomli.[/łacha]

 

[FDJ]

Zacznij myslec, zacznij czytac. Nie zadawaj juz wiecej glupich pytan.