Вернуться   GraBBerZ.CoM - ICQ | Proxy | Бруты | Дедики | Эксплоиты > Underground > ][ack

Ответ
 
Опции темы Опции просмотра

XSS vs Opera
Старый 27.01.2016, 15:49   #1
megabyte
 
Аватар для DrShaman
 
DrShaman вне форума
Регистрация: 03.01.2008
Сообщений: 257
Респекты: 78

XSS vs Opera

Здравствуйте)
Обратил внимание что опера довольно изменилась с тех пор как я её последний раз обновлял) Встретился с проблемой проведения XSS на одном ресурсе, в исходном коде страницы опера ярко выделяет красным хсс код и не выполняет его. Шифровал изменял но ни как и все тут, все красным подсвечивает. Код отлично проходит на лисе, а вот опера. Может быть есть какойто способ обойти оперу?)
провожу эксперименты на локальном сервере но успехов пока никаких
У кого какие мнения, может я что то упускаю?) опера не преступна)
  Ответить с цитированием

Старый 27.01.2016, 16:19   #2
kilobyte
 
Аватар для deepsky
 
deepsky вне форума
Регистрация: 22.12.2008
Сообщений: 105
Респекты: 132
Ну не мешало бы узнать какая у тебя опера, что на локалке поставлено и какой код ты пытаешься выполнить. Тут никуя не экстрасенсы ситдят
  Ответить с цитированием

Старый 27.01.2016, 16:52   #3
megabyte
 
Аватар для DrShaman
 
DrShaman вне форума
Регистрация: 03.01.2008
Сообщений: 257
Респекты: 78
ну экстрасенсы или нет ) опера скачал вот вчера,
Версия: 34.0.2036.50
хсс код <img/src=">" onerror=alert(123)>
только толку, другие хсс так же палятся оперой.
Сам вектор <img src=">"%20onerr> палится оперой.

а на локалке поставлен довольно простой скрипт с вырезаным куском html с уязвимого сайта:
Код:
<div id=content_center><center><div class="options_content"><table width="100%" align="center" border="0" cellspacing="0" cellpadding="0"><TR><TD bgcolor="#d29957" height="30" align="center" style="border:1px dotted #993"><h2> <?php echo ($_GET["abc"]."<br>"); ?> </h2></TR></TD>
собственно просто получаю GET на <?php echo ($_GET["abc"]."<br>"); ?> и вижу что опера новая все хсс выделяет красным в исходном коде html)

Пример запроса на мой локальный серв:
http://127.0.0.1/server.php?abc=<img src=">"%20onerr>

и опера его не режет а просто подсвечивает красным и не выполняет еслиб там было например: <img src=">" onerror=alert(123123)> то алерт не сработает.
Аналогично и с простым: <script>alert(123)</script>

Уязвимый сайт режет <script> но можно использовать onerror=[XSS]
например:
blablabla.ru/index.php?abc=<img src=">"%20onerror=document.write(unescape("[XSS]"))
  Ответить с цитированием

Старый 27.01.2016, 23:18   #4
kilobyte
 
Аватар для deepsky
 
deepsky вне форума
Регистрация: 22.12.2008
Сообщений: 105
Респекты: 132
Вот хз. Если учесть, что опера щас на движке хрома работает, то возможно стоит откатится до старой версии и там тестить.
  Ответить с цитированием

Старый 29.01.2016, 01:09   #5
VIP
 
Аватар для w00d00
 
w00d00 вне форума
Регистрация: 21.10.2006
Адрес: Красноярск
Сообщений: 521
Респекты: 335
Стрелка

Цитата:
Сообщение от DrShaman Посмотреть сообщение
Встретился с проблемой провидения XSS
экстрасены отдыхают, работают провидцы
__________________
Принимаю пятизнаки В ЛЮБЫХ КОЛИЧЕСТВАХ
  Ответить с цитированием
Юзеру w00d00 выразили Респект за этот пост:

Старый 30.01.2016, 16:07   #6
megabyte
 
Аватар для DrShaman
 
DrShaman вне форума
Регистрация: 03.01.2008
Сообщений: 257
Респекты: 78
Цитата:
Сообщение от deepsky Посмотреть сообщение
Вот хз. Если учесть, что опера щас на движке хрома работает, то возможно стоит откатится до старой версии и там тестить.
Я и так из старой оперы тестил изначально, версии 12.16
Просто для эксплуатации, хотелось бы у всех снимать куки))

Нашел инфу по обходам хрома но все уже старое не рабочее Видимо тема хсс ушла в приват или сгинула на веки)
  Ответить с цитированием
Ответ

Опции темы
Опции просмотра

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.
Быстрый переход



Время: 02:11



Powered by vBulletin® Version 3.7.6
Copyright ©2000 - 2017, Jelsoft Enterprises Ltd. Перевод: zCarot