التواصل المباشر مع الادارة والاعضاء القدامى من خلال قناة التلغرام

ترنيدو · 05-13-2013, 02:33 AM

السلام عليكم .. كيف حالكم
معي موقع مصاب بثغره xss اخر الرابط على هالشكل sendmail/mailform.php
طبعا فيه مربع ترسل فيه اقتراحات او شكاوي
جربت الكود الي وضعه الاخ سايبر مافيا عشان اعلق اندكس ولا تعلق الاندكس لا على المجلد ولا الصفحه ال php ولا له اثر بالموقع شفرت الكود url برضو ما ضبط وش الحل
شوفو هذا كود الاخ سايبر
******************.********Element.innerHTML="<h1> good security Hacked by me</h1>";</script>
وهذا الكود مشفر
%0A%20%3Cscript%3E********.********Element.innerHT ML%3D%22%3Ch1%3Egood%20security%20Hacked%20by%20me %3C%2Fh1%3E%22%3B%3C%2Fscript%3E%20

ايش الحل ابي ارفع اندكس او اسرق الكوكيز او اخترق الموقع باي شكل
جزاكم الله خير

المصدر: :: vBspiders Professional Network ::

Vspan style="font-weight: bold; color: #006400;"Cl[hf:VLspanC xss

MaFia · 05-13-2013, 02:48 AM

وعليكم السلام ورحمة الله وبركاته
احتمال المدخلات والمخرجات

مصابه بالثغره لكن المبرمج عامل فلترة xss_sec
ومانع اكواد من الكود تبعي فبتالي لن تعمل

بعد تطبيقك للكود اعرض مصدر الصفحه وراح تجد الكود كامل اتاكد منه

الكود تم تجربته عل موقع كان مصاب ايضا
تم اكتشاف ثغره في احد اكبر مواقع الهكرز التركي

mido868 ,GHOST HACK معجبون بهذا

ترنيدو · 05-13-2013, 03:03 AM

شكرا اخي على ردك
استعرضت السورس قبل الارسال وبعد الارسال وما لقيت للكود اي اثر !!

MaFia · 05-13-2013, 12:01 PM

شوف
ثغرات Xss يوجد منها نوعين

نوع بيتم ادارج كود الجافا سكريبت بجانب رابط الموقع : في البارميتر

والنوع التاني بيكون مصاب في الاكشن

كا صندوق اضافة رد , او مربع البحث , وهذا بيتم التحقق من وجود الثغره

كود PHP:

  < s c r i p t >a l e r t( " XSS " ) < / s c r i p t>

احذف الفراغات

لو طبعت كلمة

xss
في نافذه الموقع في هذه الحاله الموقع مصاب

هل تأكد ان الموقع مصاب ؟

ارسل الموقع المصاب على الخاص

ترنيدو · 05-13-2013, 05:36 PM

جربت اخي ما طبع وجربت كلمات وارقام كثيره
راح انجن البرنامج يقولي مصاب بس لما اتحقق يطلع لي سليم

mido868 · 05-13-2013, 10:32 PM

اقتباس

المشاركة الأصلية كتبت بواسطة Cyber Mafia


	شوف ثغرات Xss يوجد منها نوعين نوع بيتم ادارج كود الجافا سكريبت بجانب رابط الموقع : في البارميتر والنوع التاني بيكون مصاب في الاكشن كا صندوق اضافة رد , او مربع البحث , وهذا بيتم التحقق من وجود الثغره كود PHP: `< s c r i p t >a l e r t( " XSS " ) < / s c r i p t>` احذف الفراغات لو طبعت كلمة xss في نافذه الموقع في هذه الحاله الموقع مصاب هل تأكد ان الموقع مصاب ؟ ارسل الموقع المصاب على الخاص

اتمنى نشوف شرح قريب بالصور وتطبيق على موقع ،بعد الامتحانات إن شاء الله ،لاتنسى

Cyber Mafia معجب بهذا

MaFia · 05-14-2013, 12:51 PM

لو بتفحص ببرنامج فهوة راح يجبلك النوع الاول وهو ادارج كود جافا بجانب الموقع وارساله للمدير وسحب الكوكيز

اما لو جربت كود التحقق ف الثغره غير موجوده من الاساس

التواصل المباشر مع الادارة والاعضاء القدامى من خلال قناة التلغرام

xss

جـــ'ابات العناكــ'ب