RSS: קטעים | תגובות | | הרשמה לקבלת עדכונים בדואר אלקטרוני | | אודות | | כותבים בבלוג | | יצירת קשר |

כניסה לפורומים: http://forums.hacking.org.il



XSS חביב

נכתב ע"י גיא מזרחי בתאריך 31 בדצמבר 2007 | נושאים מאמרים מקוריים | 6 תגובות »

איך הייתם מתייחסים להרשמה לחברה שמספקת שירותי אכסון שיש לה בממשק ההרשמה XSS?

https://signup.dreamhost.com/?fqdn=%27%22%3Cscript%3Ealert%28%22XSS%22%29%3C/script%3E

אוף..




6 תגובות לקטע “XSS חביב”

  1. zEt0s- ISRAEL Windows XP Internet Explorer 7.0 כתב\ה:
    31 בדצמבר 2007 בשעה 13:01

    נכנסתי ולא קפץ לי האלרט…(ואני עם IE כרגע! =\)
    בכל מקרה אני מאמין לך שזה עובד, ובאמת חבל שבחברת איכסון כ"כ ידועה יש כזה באג.

  2. גיא מזרחי ISRAEL Windows XP Mozilla Firefox 2.0.0.11 כתב\ה:
    31 בדצמבר 2007 בשעה 13:39

    אכן, לא עובד עם IE.
    תעבור לדפדפן נורמאלי :-)

  3. zEt0s- ISRAEL Windows XP Internet Explorer 7.0 כתב\ה:
    31 בדצמבר 2007 בשעה 13:51

    חח P:
    פשוט אני לא על המחשב שלי כרגע אין לי כח להוריד פה פיירפוקס..

  4. FENiX ISRAEL Windows XP Mozilla Firefox 2.0.0.11 כתב\ה:
    31 בדצמבר 2007 בשעה 14:28

    בטופס ההרשמה – זה באמת מטורף.

    אפשר לשנות את הכתובת של ה-FORM לכתובת של התוקף ולאחר שהוא מקבל את כל הנתונים (כולל שם, סיסמה והכל), לשלוח אותם מחדש לכתובת הנכונה.
    ככה המשתמש אפילו לא שם לב שהכתובת התחלפה, כי גם בדף הבא תהיה כתובת של DREAMHOST, והתוקף משיג שליטה מלאה על החשבון שלו ופרטים שלו – למקרה שהקורבן משנה סיסמה התוקף מתקשר לתמיכה, מזדהה, ומבקש את הסיסמה..

    אפשר גם פשוט לשנות את הכתובת של ה-FORM ולבנות דף דומה לדף של התשלום שלהם, זה פישינג יותר פשוט, אבל פחות יפה, ופה יש סיכוי שאולי המשתמש ישים לב שהכתובת השתנתה.

  5. גיא מזרחי ISRAEL Windows XP Mozilla Firefox 2.0.0.11 כתב\ה:
    31 בדצמבר 2007 בשעה 22:01

    אפשר גם לקחת SHELL על המחשב של הקורבן אם ממש רוצים :-)
    עם כמה שהרבה אנשים נוטים לזלזל ב-XSS, זו אחת הפגיעויות הבעייתיות ביותר ברשת בגלל ההיקפים שלה.

  6. לישי ISRAEL Windows XP Mozilla Firefox 2.0.0.3 כתב\ה:
    15 במרץ 2008 בשעה 12:48

    מה עושים עם XSS לעזאזל

    אני לא הבנתי כלום