Коментарі для запису: Самодостатній Cross-Site Scripting

від: MustLive

Sun, 25 Oct 2009 22:18:52 +0000

Prodev

Ты можешь использовать самодостаточный XSS (как и другие типы XSS, такие как активный и пассивный) и для кражи кукисов, и для других атак.

Одного алерта не достаточно, надо как то передать данные кукисов.

Естественно при атаке нужно передать данные кукисов - и для этого нужно использовать атакующий код. В данном случае - это код для демонстрации уязвимости (для чего наиболее часто используется alert). Это PoC и в нём используется код для демонстрации (не атакующий), а если использовать код для кражи кукисов - то это уже будет эксплоит (с атакующим кодом).

А вот загрузить троян или експлоит на базе офисного документа, это да

Эти варианты атак также возможны при использовании XSS уязвимостей .

від: MustLive

Sun, 25 Oct 2009 21:53:21 +0000

Так, і AJAX можна використовувати при XSS-атаках, особливо при просунутих XSS-атаках .

від: GS

Sun, 11 Oct 2009 08:33:48 +0000

Prodev, a AJAX для чого?

від: Prodev

Fri, 09 Oct 2009 13:04:10 +0000

На счет кражи кукисов не согласен.
Одного алерта не достаточно, надо как то передать данные кукисов.
А вот загрузить троян или експлоит на базе офисного документа, это да

від: MustLive

Tue, 06 Feb 2007 14:44:29 +0000

halkfild, напишу тобі обов’язково (як раз відповім на твого листа найближчим часом). А ася моя в інтернеті доступна, на моєму домашньому сайті, а також можна пошуком по ніку знайти мою асю.

Щодо Самодостатнього Cross-Site Scripting, то ти спробуй мій Генератор XSS. У випадку, якщо не працюють приклади, то зверни увагу на те, що для виконання потрібен відповідний браузер (Mozilla, Firefox, Opera, в IE не працює), про що я писав в статті.

від: halkfild

Tue, 06 Feb 2007 10:52:22 +0000

как это выглядит в документе??? : сколько не пробовал не выполняется..
напиши мне на почту или оставь асю нормально пообщпемся