با عرض سلام و خسته نباشید خدمت همه ... من یه سایتی پیدا کردم که باگ xss داره . آدرس سایت به این صورت است wsearch.net تمام دستورات جاوا اسکریپت هم تست کردم و جواب میده ... حالا سوال من اینه که چطور کوکی ها را بدست بیارم؟ .. خیلی از جاها دیدم که نوشته کوکی گرابر درست کنید و با کوکی گرابر کوکی ها را کش برید .. خوب وقتی که این کوکی گرابر را درست کردم و آپ کردم لینکش را چطور بدم به کاربر ؟ چطور کاری کنم که وقتی کاربر صفحه را باز کرد کوکی هی کاربر برا من ارسال بشه ؟ در ضمن تمام فیلم ها و مقالات موجود را دیدم ولی متوجه نشدم لطفا یکی کمک کنه با تشکر

.
.
.
.

سلام دوست عزیز
اولا اگه یکم سرچ میکردی پیدا میشد
بعدش هم شما اگه خودت سایت آسیب پذیر دارید که دیگه نیازی به ساخت کوکی گریبز نیست
این اسکریپت رو اجرا کن خودش کوکی ها رو میده

<script>alert(document.cookie)</script>
خودش کوکی ها رو میده
بعدش هم از IE یا fire fox کوکی ها رو جابه جا میکنی (یا اضافه میکنی) بعدش هم دوباره سایت رو
رفرش(refresh)میزی
میبینی که شدی admin

همه بشرند اما بعضی ها انسانند!

سلام دوست عزیز
اولا اگه یکم سرچ میکردی پیدا میشد
بعدش هم شما اگه خودت سایت آسیب پذیر دارید که دیگه نیازی به ساخت کوکی گریبز نیست
این اسکریپت رو اجرا کن خودش کوکی ها رو میده

<script>alert(document.cookie)</script>
خودش کوکی ها رو میده
بعدش هم از IE یا fire fox کوکی ها رو جابه جا میکنی (یا اضافه میکنی) بعدش هم دوباره سایت رو
رفرش(refresh)میزی
میبینی که شدی admin

همه بشرند اما بعضی ها انسانند!

مرسی دوست عزیز ولی این دستور(<script>alert(document.cookie)</script>) کوکی های سیستم خودم را بهم نشون میده اگه اینطوری بود که سنگ رو سنگ بند نمی شد در ضمن این ماله یک سایتی است که خیلی خیلی امنیتش بالاست و خیلی مهم مثلا فکر کن ماله سایت رئیس جمهور آمریکا است ... در ضمن فقط همین باگ را داره و هیچ اسکنری هم این باگ را نشون نداد خودم پیداش کردم ...این باگ تو صفحه ادمین سایت است میخوام یوزر و پس را کش برم لطفا یکی کمک کنه

نمیدونم چرا من هر سوالی میپرسم کسی جواب نمیده لطفا یکی یه جواب درست و حسابی بدهد اینم عکس صفحه ادمین که ضمیمه کردم که بهتر کمک کنید

با عرض سلام و خسته نباشید خدمت همه ... من یه سایتی پیدا کردم که باگ xss داره . آدرس سایت به این صورت است wsearch.net تمام دستورات جاوا اسکریپت هم تست کردم و جواب میده ... حالا سوال من اینه که چطور کوکی ها را بدست بیارم؟ .. خیلی از جاها دیدم که نوشته کوکی گرابر درست کنید و با کوکی گرابر کوکی ها را کش برید .. خوب وقتی که این کوکی گرابر را درست کردم و آپ کردم لینکش را چطور بدم به کاربر ؟ چطور کاری کنم که وقتی کاربر صفحه را باز کرد کوکی هی کاربر برا من ارسال بشه ؟ در ضمن تمام فیلم ها و مقالات موجود را دیدم ولی متوجه نشدم لطفا یکی کمک کنه با تشکر


درود ...!


لینک : [Only registered and activated users can see links]


بدورد ...!

با تشکر از شما ولی این آموزشی که شما گذاشتید مربوط به فروم بود ... همانطور که در عکس میبینید این صفحه ی ادمین است و فقط 2 تا فیلد داره ... لطفا یکی کمک کنه چطور یوز و پس را کش برم ؟

با تشکر از شما ولی این آموزشی که شما گذاشتید مربوط به فروم بود ... همانطور که در عکس میبینید این صفحه ی ادمین است و فقط 2 تا فیلد داره ... لطفا یکی کمک کنه چطور یوز و پس را کش برم ؟

پست اول مربوط میشه به زدن کوکی فروم ها.پست دوم اون تاپیک مخصوص زدن کوکی سایت هاس که جواب سوال شماس ...!


لینک : [Only registered and activated users can see links]



موفق باشید ...!

با تشکر ولی بازم مشکل من حل نشد ...شما عکس را دیدید ؟ پطور ی.زر و پس ادمین را بردارم ؟

سلام دوست عزیز

کمی حق با شماست چون روش دزدیدن کوکی ها به وسیله باگ XSS برای تازه وارد هایی مثل بنده کمی درکش سخت است .

دوست عزیز شما اگر می بینید که در سایتی باگ XSS وجود دارد می توانید از آن طریق پسورد Admin یا اعضا را بدزدید .

سعی می کنم کمی واضح و ساده توضیح بدهم امید به آن که متوجه بشوید :

فرض کنید سایتی دارای باگ XSS است که شما برای تست کردن این باگ در سایت می توانید از تگ زیر استفاده کنید :

<script>alert(document.cookie)</script>

کد بالا را می توانید در قسمتی از آدرس بار قرار دهید و یا اینکه در قسمت جستجو سایت ها و یا اینکه در پست هایی که در فروم ها قرار می گیرند و یا اینکه در قسمت login سایت ها و ...

اگر سایت مورد نظر شما این باگ را دارا بود با قرار دادن کد بالا پیغامی در وسط صفحه به شما می دهد مبنی بر کوکی سیستم شما در آن Browser برای آن صفحه .

حال شما اگر یکی از اعضای سایت مورد نظر باشید و در سایت login کرده باشید می توانید کوکی که به شما پیغام شده را به کس دیگری دهید و آن شخص با set کردن آن کوکی در Browser خود می تواند با مشخصات شما وارد سایت شود تنها با یک Refresh کردن صفحه .

حال شما می توانید این کار را به صورتی پیچیده تری انجام دهید تا مشخصات کوکی افراد دیگر یا حتی Admin سایت را در بیاورید . به این صورت که شما در همان قسمتی که باگ XSS دارد کدی مانند کد قبل وارد می کنید تنها با این تفاوت که در آن یک کدی اضافه می کنید تا وقتی target بر روی آن کلیک کرد اطلاعاتی که باید نمایش داده شود هدایت شود به مکانی که شما می خواهید و بتوانید آن را ببینید .

که به دین منظور از فایل PHP به نام کوکی گرابر استفاده می کنیم که کار هدایت را برای ما انجام می دهند .

خوب چگونه target بر روی قسمت باگ داری که ما آماده کرده ایم کلیک کند تا کوکی های آن برای ما فرستاده شود ؟

ما می توانید لینکی از آدرس بار قسمت باگ دار که آماده کرده ایم به target بدهیم و یا اینکه در فروم هایی که اجازه استفاده از تگ html را به ما می دهند در یکی از پست هایمان کد مورد نظرمان را وارد کنیم و با ورود افراد کوکی هایشان برای ما فرستاده می شود . و یا در یک فایل متنی کد مورد نظرمان را قرار دهیم و در سایت یا فروم مورد نظرمان که در قسمت Upload باگ دارد Upload کنیم و ببینیم چگونه و در چه مسیری فایلمان بر روی سایت قرار گرفته است و تنها لینک آن مسیر را به target بدهیم مانند باگی که در فروم SMF1 قرار دارد .

حال ممکن است که سایت مورد نظرمان این باگ را دارا باشد ولی تگ هایی را به وسیله فایروال بسته باشد مانند :

[ ' ] , [ script ] , space , ...

که ما می توانیم برای هر کدام یک روش دیگر و ابتکاری اعمال کنیم به طور مثال کد زیر را ببینید :

"><ScRiPt>alert(/Bypass by Oner/)</ScRiPt>

یا روش های دیگر که باید با خلاقیت خود و با توجه به سایت مورد نظر Bypass انجام شود .
امیدوارم توانسته باشم کامل توضیح داده باشم و مورد قبول واقع شده باشد
موفق باشید 8-x

پست اول مربوط میشه به زدن کوکی فروم ها.پست دوم اون تاپیک مخصوص زدن کوکی سایت هاس که جواب سوال شماس ...!


لینک : [Only registered and activated users can see links]



موفق باشید ...!

با تشکر بله پست دوم جواب سوال من است ولی یک مشکلی من کوکی گرابر را روی هاستی که php را ساپورت میکنه آپ کردم و تمام مراحل را بدرستی انجام دادم ولی کوکی ها در فایل data ذخیره نمیشه حتی رو سیستم خودم هم تست کردم ولی بازم نشد لطفا بگید مشکل از کجاست

تاپیک زیر کامل ترین تاپیک آموزش xss هست.

[Only registered and activated users can see links]


به طور خلاصه همه چیز توضیح داده شده.....