Закрыть ... [X]

Active Xss in Shop CC+CVV&DUMP

Рекомендуем посмотреть ещё:




Как применить активный xss

инструкция
Суть уязвимости XSS заключается в возможности выполнять сторонний скрипт на сервере, позволяя хакеру красть конфиденциальные данные. Файлы cookie обычно украдены: заменяя их самостоятельно, злоумышленник может войти на сайт с правами человека, чьи данные он украл. Если это администратор, хакер войдет на сайт с правами администратора.
Уязвимости XSS делятся на пассивные и активные. Использование пассивного означает, что скрипт может быть выполнен на сайте, но не сохранен на нем. Чтобы использовать такую ​​уязвимость, хакеру требуется под одним предлогом, чтобы заставить вас следовать ссылке, посланной им. Например, вы являетесь администратором сайта, получите личное сообщение и следуете по ссылке, указанной в нем. В этом случае куки идут к снифферу - программе для перехвата данных, необходимых хакеру.
Активные XSS гораздо реже, но они намного опаснее. В этом случае вредоносный скрипт сохраняется на странице сайта - например, в сообщении с форума или гостевой книги. Если вы зарегистрированы на форуме и открываете такую ​​страницу, ваши файлы cookie автоматически переходят к хакеру. Вот почему так важно иметь возможность проверять ваш сайт на наличие этих уязвимостей.
Для поиска пассивного XSS вы обычно используете строку «> <script> alert () </ script»>, введенную в поля ввода текста, чаще всего в поле поиска сайта. Весь трюк в первой цитате: когда возникает ошибка при фильтрации символов, цитата рассматривается как закрывающая поисковый запрос, а скрипт, следующий за ним, выполняется. Если есть уязвимость, вы увидите всплывающее окно на экране. Этот тип уязвимости очень распространен.
Поиск активного XSS начинается с проверки того, какие теги разрешены на сайте. Для хакера наиболее важными тегами являются img и url. Например, попробуйте вставить ссылку в изображение в сообщении: [img] http://www.site.ru/image.jpg [/ img]. Адрес может быть любым, фактическое изображение здесь не требуется. Хакер, важно посмотреть, вставлен ли его рисунок в сообщение. Если да, то красное крестик появится в сообщении на месте изображения (на самом деле нет изображения). Затем он проверяет, можно ли вставить пробел после расширения * .jpg: [img] http://www.site.ru/image.jpg [/ img].
Если крест появляется снова, хакер находится на полпути к успеху. Теперь он добавляет еще один параметр после расширения * .jpg: [img] http://www.site.ru/image.jpg lowsrc = javascript: alert () [ / img]. На странице появилось сообщение с крестом: теперь каждый, кто его открывает, будет всплывающим окном. Это означает, что уязвимость присутствует и работает. Теперь хакеру удаляют свои сообщения и вставляют новый, со ссылкой на сниффер вместо кода, который отображает окно предупреждения.
Как защитить свой сайт от атак с помощью уязвимостей XSS? Постарайтесь сохранить как можно меньше полей ввода данных. Более того, переключатели, флажки и т. Д. Могут даже стать «полями». Существуют специальные хакерские инструменты, отображающие все скрытые поля на странице браузера. Например, IE_XSS_Kit для Internet Explorer. Найдите эту утилиту, установите ее - она ​​будет добавлена ​​в контекстное меню браузера. После этого проверьте все поля вашего сайта на предмет возможных уязвимостей.




ШОКИРУЮЩИЕ НОВОСТИ



Video: XSS на JoyReactor

disqus.com cross site scripting
Как применить активный xss





Похожие статьи

Что такое синдром раздраженного кишечника?
Как сделать свадебный плакат своими руками
Как устранить искривление позвоночника
Как установить гаражные ворота
Как вязать азиатский шип с вязальными спицами
Как сделать спальню желтой
Продукты, которые помогут избавиться от жира на животе
Что такое неусыпаемая Псалтирь