logo Homepage
+  NewbieContest
|-+  Divers» Hacking» Problème avec faille XSS
Username:
Password:
Pages: [1]
  Imprimer  
Auteur Fil de discussion: Problème avec faille XSS  (Lu 4855 fois)
djtoonight
Profil challenge

Classement : 11249/54254

Néophyte
*
Hors ligne Hors ligne
Messages: 2


Voir le profil
« le: 30 Décembre 2011 à 13:36:13 »

Bonjour,
Je suis un débutant passionné d'informatique voulant me spécialiser dans la sécurité informatique.

Je viens de trouver ma 1er faille XSS (je suis donc très fier de moi ) mais je ne suis pas capable de l'exploiter! En fait mon problème est plus vaste :

j'injecte le code suivant : "><script>alert();</script> dans un formulaire de recherche.
En observant le code HTML, je m'aperçois que le code à bien fermé la balise input et ouvert la balise <script> mais la fonction alert() n'est pas afficher. Je ne comprend pas pourquoi.
Pouvez-vous m'expliquer svp?
Voici un extroit du code, l'injection est en bleu :

<input type="text" name="q" value="test"><script>alert("test");</script>" size="30" maxlength="128" /> &nbsp;

Merci de votre aide!
Journalisée
Asteriksme
Modérateur Global

Profil challenge

Classement : 37/54254

Membre Héroïque
*****
Hors ligne Hors ligne
Messages: 785

.


Voir le profil WWW
« #1 le: 30 Décembre 2011 à 13:38:47 »

t'as pas de < pour la fin du code
Journalisée

"It's a funny thing about some mathematicians. We often don't care if the results have applications because the results are themselves so pretty."
djtoonight
Profil challenge

Classement : 11249/54254

Néophyte
*
Hors ligne Hors ligne
Messages: 2


Voir le profil
« #2 le: 30 Décembre 2011 à 14:50:58 »

Merci de ta réponse.


En fait mon problème venait de mon navigateur. En effet je tourne sous google Chrome. Mon injection fonctionne parfaitement, mais sous mozilla!
Merci quand même!
Journalisée
the lsd
Administrateur

Profil challenge

Classement : 189/54254

Membre Héroïque
*****
Hors ligne Hors ligne
Messages: 3096

poulping for fun & profit


Voir le profil WWW
« #3 le: 30 Décembre 2011 à 17:02:27 »

Les navigateurs récents ont tous des fonctionnalités anti XSS. Après, il est possible de bypasser ces protections, avec des XSS tordues, mais c'est pas ce qu'il y a de plus facile.

Enjoy

The lsd
Journalisée

Newbie Contest Staff :
The lsd - Th3_l5D (IRC)
Statut :
Administrateur
Citation :
Cartésien désabusé : je pense, donc je suis, mais je m'en fous !
Asteriksme
Modérateur Global

Profil challenge

Classement : 37/54254

Membre Héroïque
*****
Hors ligne Hors ligne
Messages: 785

.


Voir le profil WWW
« #4 le: 30 Décembre 2011 à 17:21:27 »

ouais ou alors faut les désactiver, ça doit être possible ça je pense
Journalisée

"It's a funny thing about some mathematicians. We often don't care if the results have applications because the results are themselves so pretty."
Lunarion
Profil challenge

Classement : 4780/54254

Néophyte
*
Hors ligne Hors ligne
Messages: 2


Voir le profil
« #5 le: 13 Janvier 2012 à 14:59:13 »

Les navigateurs récents ont tous des fonctionnalités anti XSS. Après, il est possible de bypasser ces protections, avec des XSS tordues, mais c'est pas ce qu'il y a de plus facile.

Enjoy

The lsd

Salutations !
Est-il possible d'en savoir plus sur ces fonctionnalités, ma curiosité a faim !

Merci d'avance.
Journalisée
the lsd
Administrateur

Profil challenge

Classement : 189/54254

Membre Héroïque
*****
Hors ligne Hors ligne
Messages: 3096

poulping for fun & profit


Voir le profil WWW
« #6 le: 13 Janvier 2012 à 15:40:26 »

J'ai un pdf qui traine concernant le bypass sur IE sur mon HD externe, je le posterais d'ici ce soir. PM moi si j'oublie. Pour chrome, il y a un trick qui a été release il y a quelques mois, je n'ai plus l'adresse. Pour FF, j'ai pas d'infos.

ouais ou alors faut les désactiver, ça doit être possible ça je pense

Ouais... Sur ton poste. L’intérêt d'une XSS, c'est de lancer le js sur le poste de la victime, qui ne va pas désactiver son anti XSS pour tes beaux yeux

Enjoy

The lsd
Journalisée

Newbie Contest Staff :
The lsd - Th3_l5D (IRC)
Statut :
Administrateur
Citation :
Cartésien désabusé : je pense, donc je suis, mais je m'en fous !
Asteriksme
Modérateur Global

Profil challenge

Classement : 37/54254

Membre Héroïque
*****
Hors ligne Hors ligne
Messages: 785

.


Voir le profil WWW
« #7 le: 13 Janvier 2012 à 18:42:20 »

Oui mais moi, contrairement aux evils hackers, je ne fais que des xss sur mon poste !
Journalisée

"It's a funny thing about some mathematicians. We often don't care if the results have applications because the results are themselves so pretty."
the lsd
Administrateur

Profil challenge

Classement : 189/54254

Membre Héroïque
*****
Hors ligne Hors ligne
Messages: 3096

poulping for fun & profit


Voir le profil WWW
« #8 le: 13 Janvier 2012 à 18:56:20 »

t'es ouf toi ! Tu te pirates toi même ton compte ! La classe ! 

Enjoy

The lsd
Journalisée

Newbie Contest Staff :
The lsd - Th3_l5D (IRC)
Statut :
Administrateur
Citation :
Cartésien désabusé : je pense, donc je suis, mais je m'en fous !
S0410N3
Administrateur

Profil challenge

Classement : 10/54254

Membre Héroïque
*****
Hors ligne Hors ligne
Messages: 1260


Voir le profil WWW
« #9 le: 14 Janvier 2012 à 00:57:31 »

Il parait qu'il a un machin comme ça !
Journalisée

Enjoy (copyleft de quelqu'un qui a trop parlé)

S0410N3

-------------------------------------------------------------------------------------
La folie est le prix à payer pour le temps passé à être trop lucide.
-------------------------------------------------------------------------------------
http://forum.hardware.fr/hfr/Discussions/Societe/francais-repere-repaire-sujet_19265_1.htm
Lunarion
Profil challenge

Classement : 4780/54254

Néophyte
*
Hors ligne Hors ligne
Messages: 2


Voir le profil
« #10 le: 16 Janvier 2012 à 21:52:49 »

Un petit up pour avoir le pdf, je ne peux envoyer de mp car je n'ai pas assez de points !

Merci d'avance
Journalisée
the lsd
Administrateur

Profil challenge

Classement : 189/54254

Membre Héroïque
*****
Hors ligne Hors ligne
Messages: 3096

poulping for fun & profit


Voir le profil WWW
« #11 le: 16 Janvier 2012 à 22:38:56 »

oups désolé, ça m'était sorti de la tête !

Alors, pour IE, voilà le pdf : http://thelsd.tuxfamily.org/up/msie-xssbypass.pdf

Pour chrome, j'ai retrouvé le lien : http://blog.securitee.org/?p=37

Enjoy

The lsd
Journalisée

Newbie Contest Staff :
The lsd - Th3_l5D (IRC)
Statut :
Administrateur
Citation :
Cartésien désabusé : je pense, donc je suis, mais je m'en fous !
Pages: [1]
  Imprimer  
 
Aller à: