جنـرال الـهكـر
السٌّمعَة : 4
تاريخ التسجيل : 20/04/2014
الموقع : https://sadam-alsharabi.roo7.biz
 |  موضوع: الدرس الثالث جزء الثاني: استغلال ثغرة xss  الثلاثاء مايو 13, 2014 10:49 am | |
| بسم الله الرحمن الرحيم الكود المهم في ثغرات xss - الكود:
-
alert(**************)alert("XSS")
هذا كود سكربت خبيث يأتي بمعلومات الكوكيز تجده دائما ً
في ثغرات
هذا السكربت و ظيفته هي سرقة الكوكيز و هذا الكوكيز
يحتوي على اليوزر نايم و الباسوورد المشفرmd5
مثلا ناخذ هذا الموقع https://www.calacademy.org وريح يكون استغلال مثلا بشكل هذا https://www.calacademy.org/search.php?q= الكود هذا نحطو في اخير بعد العلامة (=) نحط هذا الكود وانت يمكن تغير ما بينا قوسين الملف المصاب alert(document.cookie)alert("XSS") المهم يصبح هيك https://www.calacademy.org/search.php?q=%3Cscript%3Ealert%28document.cookie%29%3C/script%3E%3Cscript%3Ealert%28%22XSS%22%29%3C/script%3E هناك العديد من الطرق , وجميعها تعتبر من الطرق البرمجية ( اي حقن اكواد برمجية ) , لذلك كل ما زادت خلفية المخترق في البرمجة كل ما تمكن من التعامل مع هذه الثغرات باحترافية اكثر .
1 – تلغيم الصفحة .
وهنا سيتم حقن اكواد HTML لاضافة صفحة خفية ملغومة في داخل الموقع ( الصفحة ) المصاب - الكود:
-
عندها سيتم فتح هذا الموقع بطريقة خفية , وسيتم اختراق كل من دخل للصفحة التي تم حقن الكود فيها .
نسخه من شل G.H.T-XSS -Shell
G.H.T Xss طھط*ظ…ظٹظ„ â—ڈ ظ…ط±ظƒط² طھط*ظ…ظٹظ„ ط´ط¨ظƒط© ط§ظ„طµط§ط¹ظ‚ط© ط§ظ„ط¹ط±ط¨ظٹط©
عدلو علية قبل رفع
خطورتها :
1- سحب الكوكيز
2- تنفيذ اوامر Java script
3- التلاعب بالضحية
4- عمل DDos Attack
. ======================== [SIZE=4]الاحتياجات : 1- G.H.T Xss Shell 2- asp استضافة تدعم https://hosting.parking.ru/signup.aspx 3- برنامج ftp 4- موقع للتلغيم | |
|
