Добро пожаловать, Гость!
Тема закрыта для обсуждения
ещё раз про xss - Страница 1
Архив закрытых тем | ещё раз про xss
QWERTY_MAN : ещё раз про xss
19 Апр 2014Добрый день уважаемые новички! для более менее опытных мастеров данная тема будет бесполезна
Я не буду учить вас записывать куки в лог файлы просто расскажу чем опасна данная уязвимость и как легко ее использовать при наличии прямых рук в общем для теста нам понадобиться чистый релиз дцмс 664 один файл менеджер и пара браузеров для тех кто с телефона идеально подойдет о/м 4.20 mod (там можно заменить куки) и так переходим в файл /users.php там видим поисковик вписываем в него запрос
"><sсript>alert(document.cookie)</sсript>
в появившемся окне водим набор непонятных символов копируем их это будут наши куки и они нам пригодятся дальше заходим в зарание скачанный браузер о/м регистрируемся на сайте заходим в настройки меняем куки на те что украли с другого браузера, обновляем страницу и вы тут же оказываетесь на странице админа заходим в админку и льем архив с файл менеджером через инсталятор тем архив будет распакован системой в папку созданную по названию архива .... думаю что можно сделать дальше пояснять ненужно.... остерегайтесь XSS для дцмс это фатальная уязвимость!. !
Тема закрыта Cистема
Комментарии:
Cистема 19 Апр 2014Тему переместил Модератор Королева из раздела Знакомство и общение мастеров в раздел Архив закрытых тем
array 
19 Апр 2014Ну можно было и не описывать весь процесс, тем более, что ни слова о том как огородить себя от этого...
QWERTY_MAN 19 Апр 2014Автор темы
Для тех кто намерен защититься от шела в темах по средствам ограничения доступа .htaccess ОБЛОМАЙТЕСЬ! он действует в каждой корневой и подпапках в таком виде в каком ты его закладываеш
QWERTY_MAN 19 Апр 2014Автор темы
Обращение к админу!!!' не бань статью это не пособие для взлома, просто много сайтов снесли за последнее время Пусть знают от чего нужно ждать подлянки
