Ir para conteúdo
Faça parte da equipe! (2024) ×
Conheça nossa Beta Zone! Novas áreas a caminho! ×
  • Quem está por aqui   0 membros estão online

    • Nenhum usuário registrado visualizando esta página.

[CSS ou XSS] Cross Site Scripting


ModStryker
 Compartilhar

Posts Recomendados

Introdução

 

Hoje vou explicar o que é e qual o objetivo da técnica conhecida como CSS (Cross Site Scripting).

 

O que é?

 

Tambem chamada simplesmente de CSS ou XSS, o Cross Site Scripting é uma técnica que visa roubar cookies de usuários através de seus navegadores. Geralmente o invasor injeta comandos HTML e Java Script em alguma função, conseguindo obter sessões de usuários mesmo sem ter autorização para isso. Qual a utilidade disso, então?. Podemos ler o e-mail de uma pessoa no seu webmail, acessar o seu banco on-line etc. Tudo sem precisar saber a senha.

 

Exemplo

 

Vejamos um exemplo fictício:

 

É necessário se cadastrar para acessar o conteúdo.

 

Vamos analisar : o script mail.pl passa dois parâmetros:

 

É necessário se cadastrar para acessar o conteúdo.

 

Se colocarmos alguns comandos HTML, o link poderia ficar assim:

 

É necessário se cadastrar para acessar o conteúdo.
<script>alert("site esta vulneravel")</script>readmail&login=1

 

Ou poderiamos fazer assim:

 

É necessário se cadastrar para acessar o conteúdo.
readmail<script>alert("site esta vulneravel")</script>&login=1

 

Logo sem seguida, o navegador iria retornar um alerta com a mensagem:

 

alerta.png

 

Bem é isso , no próximo tópico estarei mostrando como explorar melhor o XSS e obter os cookies alheios e outros truques.

 

Créditos:

 

100% a ModStryker ou Leader (EU)

 

 

 

 

Link para o comentário
Compartilhar em outros sites

  • 1 mês depois...
  • 2 semanas atrás...
Então posta aqui como faz isso a lembrando nem tudo é baseado em habbo -q

Não, qualquer site "avançado" que você tentar invadir por falhas toscas dessas ele já tem um hiper proteção e outra, isso é proteção do próprio Browser quando ele detecta uma injeção de script por $_GET ou qualquer coisa do tipo ele se recusa a executar.

Link para o comentário
Compartilhar em outros sites

LOL vc é fodao em fodao no CTRL+C CTRL+V

 

É necessário se cadastrar para acessar o conteúdo.

 

ai seus créditos esta phoenix ou leader :D

 

bom garoto bom

 

Meu é o mesmo cara --' e tambem sou eu.

 

Procure se informar antes de acusar.

Link para o comentário
Compartilhar em outros sites

Este tópico está impedido de receber novos posts.
 Compartilhar

×
×
  • Criar Novo...

Informação Importante

Nós fazemos uso de cookies no seu dispositivo para ajudar a tornar este site melhor. Você pode ajustar suas configurações de cookies , caso contrário, vamos supor que você está bem para continuar.