Pokaż wyniki 1 do 6 z 6

Temat: xss - help - fast!

  1. #1
    31337 jest offline Banned
    Zarejestrowany
    Apr 2007
    Postów
    367

    Domyślnie xss - help - fast!

    Kod:
    <form name="x" action="http://examlpe.com/xss.php" method="post">
    <input type="hidden" name="cos" value="%22><script>alert(document.cookie)</script>">
    <input name="submit" type="hidden">
    </form>
    <body onLoad="x.submit()">
    W `normalnych` warunkach ten kod by działał.
    Jednakże podatny skrypt wymaga zmiennej submit =/
    Ale przeglądarka nie chce wysłać formularza javascriptrm, kiedy 1 input jast nazwany submit..
    Wszelakie kdowania, zmiana wartości nie działa. Jak to obejść, żeby ofiara nie musiała klikać w coś żeby stracić ciacho?

  2. #2
    Zarejestrowany
    Sep 2006
    Postów
    1,227

    Domyślnie

    Ostatnia linijka jest prawie dobra, tylko musisz zrobić tak:
    Kod html:
    <body onLoad="document.forms[0].submit()">
    A przedtem w sekcji <form> dać nazwę, którą podajesz w onLoad.
    Poczytaj syntax onLoad w JS.

    coś takiego nie istnieje
    Kod html:
    <input name="submit" ...
    Ostatnio edytowane przez Mad_Dud : 06-05-2007 - 23:36

  3. #3
    Avatar ble34
    ble34 jest offline jestem bugiem
    Zarejestrowany
    Oct 2006
    Skąd
    krzesło
    Postów
    681

    Domyślnie re

    ale ty jesteś obrotny człowieku
    ty robisz wszytko naraz

  4. #4
    31337 jest offline Banned
    Zarejestrowany
    Apr 2007
    Postów
    367

    Domyślnie

    Cytat Napisał Mad_Dud Zobacz post
    coś takiego nie istnieje
    Kod html:
    <input name="submit" ...
    to jak przesłać POSTem zmienną submit=blablabla ?
    Pozatym mój kod jest dobry (w znaczeniu działający), tylko kwestia tego name=submit :/

  5. #5
    Zarejestrowany
    Jun 2006
    Skąd
    rand(.eu)
    Postów
    8,748

    Domyślnie

    Cytat Napisał 31337 Zobacz post
    to jak przesłać POSTem zmienną submit=blablabla ?
    Ustawic jej VALUE a nie przesylac pusta... wyslac tak jak podal Mad_Dud.
    Skoro ciacho przesylasz w zmiennej 'cos' to po co Ci ten 'submit'?

    Poza tym jak ty chcesz podstawic do zmiennej formularza cos co wywolujesz jako javascript:alert() - przeciez to wypluje ciacho jako okienko 'alert' a nie wstawi ciacho do zmiennej... no chyba ze ja dzisiaj juz w ogole nie kapuje i jeszcze spie...
    ctrl-alt-del.cc - soft reset site for IT admins and other staff :-)

  6. #6
    31337 jest offline Banned
    Zarejestrowany
    Apr 2007
    Postów
    367

    Domyślnie

    Skoro ciacho przesylasz w zmiennej 'cos' to po co Ci ten 'submit'?
    Mi po nic, tylko server bez niej nic nie zapisuje

    Poza tym jak ty chcesz podstawic do zmiennej formularza cos co wywolujesz jako javascript:alert() - przeciez to wypluje ciacho jako okienko 'alert' a nie wstawi ciacho do zmiennej... no chyba ze ja dzisiaj juz w ogole nie kapuje i jeszcze spie...
    to był przykład

    Ustawic jej VALUE a nie przesylac pusta...
    równierz nie działa.
    Ostatnio edytowane przez 31337 : 06-06-2007 - 13:41

Podobne wątki

  1. Ataki XSS i CSRF - ksiażeczki szukam :)
    By eMCe in forum Off Topic
    Odpowiedzi: 6
    Autor: 05-04-2007, 18:46
  2. XSS-hackme
    By vegh in forum Security
    Odpowiedzi: 0
    Autor: 03-29-2007, 01:40
  3. xss oco chodzi
    By ble34 in forum Newbie - dla początkujących!
    Odpowiedzi: 3
    Autor: 01-11-2007, 17:18

Zasady Postowania

  • Nie możesz zakładać nowych tematów
  • Nie możesz pisać wiadomości
  • Nie możesz dodawać załączników
  • Nie możesz edytować swoich postów
  •  
Subskrybuj