trisn
12.09.2009, 08:09
XSS meets HTML Injection
(Ich kanns iwie net lassen , dann wenn ich aufhören will wirds wieder witzig :/ )
Njoah , vielleicht kennt ihr die Methode schon, ich kannte sie noch nicht und bin per zufall
mit ein wenig logischem denken drauf gekommen ^^
Also zuerst nutzen wir die das schöne schon fertige Tutorial im V-TuT Bereich
"Durch Seitenbesuch mit server.exe infizieren" oder wie es auch immer heißt ^^
Nun habt ihr alles so gemacht wie der captain cool das wollte und seit nun bereit eine XSS Lücke zu finden.
Wir prüfen aber nicht wie gewohnt auf <script>alert()</script> sondern nutzen schon einen fertigen HTML Sheet,
nämlich <iframe=http://google.com>
kommt jetzt ein fenster oder es verändert sich einfach die Struktur der Page so sehen wir das wir den Teil des iFrames bearbeiten können. Wir könnten eine komplett neues fenster mit
<script>document.body.innerHTML=
erstellen (oder so gesagt leer machen und neu füllen) und uns die Seite so anpassen wie wir sie brauchen.
Und nun bauen wir unsere Hintertüre ein.
wir lassen einfach unsere HTML Injection Site im <iframe=> laden =D
(Ein Grund mehr warum das bei Wer-kennt-wen.de so witzig war :D :D )
Also viel Spaß beim XSSjecten :D
(Ich kanns iwie net lassen , dann wenn ich aufhören will wirds wieder witzig :/ )
Njoah , vielleicht kennt ihr die Methode schon, ich kannte sie noch nicht und bin per zufall
mit ein wenig logischem denken drauf gekommen ^^
Also zuerst nutzen wir die das schöne schon fertige Tutorial im V-TuT Bereich
"Durch Seitenbesuch mit server.exe infizieren" oder wie es auch immer heißt ^^
Nun habt ihr alles so gemacht wie der captain cool das wollte und seit nun bereit eine XSS Lücke zu finden.
Wir prüfen aber nicht wie gewohnt auf <script>alert()</script> sondern nutzen schon einen fertigen HTML Sheet,
nämlich <iframe=http://google.com>
kommt jetzt ein fenster oder es verändert sich einfach die Struktur der Page so sehen wir das wir den Teil des iFrames bearbeiten können. Wir könnten eine komplett neues fenster mit
<script>document.body.innerHTML=
erstellen (oder so gesagt leer machen und neu füllen) und uns die Seite so anpassen wie wir sie brauchen.
Und nun bauen wir unsere Hintertüre ein.
wir lassen einfach unsere HTML Injection Site im <iframe=> laden =D
(Ein Grund mehr warum das bei Wer-kennt-wen.de so witzig war :D :D )
Also viel Spaß beim XSSjecten :D